Adobe Flash 10 victime d'une faille critique… sans correctif

Flash Player 10 mais aussi Reader et Acrobat 9 sont affectés d’une faille qui permet la prise de contrôle distante du système. Des attaques ont été constatées.

Adobe vient de mettre à jour son bulletin d’alerte, à l’origine daté du 4 juin, pour rappeler la faille critique qui touche le Flash Player en versions 10.0.45.2 et antérieure. Windows et Mac OS mais aussi Linux/Unix (notamment Solaris) sont concernés par la vulnérabilité.

Adobe Reader et Acrobat 9 .x sont également affectés via le composant authplay.dll. Le trou de sécurité risque de provoquer un plantage système qui pourrait potentiellement permettre à l’attaquant de prendre le contrôle de la machine à distance. Une potentialité déjà mise en œuvre puisque Adobe reconnaît que « cette vulnérabilité est activement exploitée à la fois contre Adobe Flash Player et Adobe Reader et Acrobat ».

Il n’existe pour l’heure aucun correctif pour pallier le problème. Adobe prévoit de sortir son patch pour Flash Player le 10 juin prochain pour Windows, Mac OS et Linux. Solaris attendra, une date indéterminée. Quant aux applications Reader et Acrobat 9, elles seront corrigées le 29 juin (à noter que les versions 8 ne sont pas concernées par la faille). En attendant, il est possible de se protéger de cette vulnérabilité en installant la version 10.1 de Flash toujours en cour de développement mais quasi finalisée (release candidate).