Faille Zero Day : Et de trois pour Flash Player !

Une nouvelle vulnérabilité qui affecte Flash Player est en cours d’exploitation. Les visiteurs de Dailymotion s’inscrivent parmi les premières victimes.

Adobe alerte d’une nouvelle faille de sécurité zero day (CVE-2015-0313) qui frappe Flash Player. Cette vulnérabilité classée comme « critique » par l’éditeur affecte la version 16.0.0.296 pour Windows et Mac du lecteur Flash et toutes les instances précédentes. Une exploitation réussie de ce bug peut causer une interruption brutale du système et permettre potentiellement à l’attaquant d’en prendre le contrôle.

La faille n’est pas seulement non corrigée aujourd’hui, elle est aussi exploitée. L’éditeur Trend Micro rapporte que la vulnérabilité serait exploitée avec Angler, le kit d’exploitation repéré fin janvier par un chercheur indépendant, Kafeine, sur les précédentes versions de Flash Player. « Selon nos données, les visiteurs du site populaire Dailymotion.com étaient redirigés vers une série de sites qui éventuellement mènent à l’URL hxxp://www.retilio.com/skillt.swf où l’exploit en soi est hébergé », indique Trend Micro qui surveille les attaques depuis le 14 janvier et a constaté un pic autour du 27 janvier.

Dailymotion et les autres

Ce n’est pas la plate-forme d’hébergement de vidéos qui est infectée en soi mais la plate-forme publicitaire sur laquelle s’appuie Dailymotion pour diffuser les annonces à caractère commercial. Ce qui laisse supposer que l’attaque ne se limite probablement pas au seul site français de diffusion de vidéo. Mais l’éditeur n’indique pas d’autres références. Toujours selon Trend Micro, « la plupart des utilisateurs qui ont accédé au serveur malveillant lié à l’attaque proviennent des États-Unis ». Alors que la faille n’est pour l’heure pas corrigée, l’éditeur en sécurité préconise de désactiver Player Flash des navigateurs en attendant que la faille soit corrigée. Adobe souligne que les versions 11.x du lecteur ne sont pas concernées par la nouvelle vulnérabilité. De là à les substituer aux versions 16.x….


Lire également
Google déniche 3 failles Zero Day dans Mac OS X
Windows victime d’une faille zero-day liée à PowerPoint
Une faille zero day exploitée dans Windows pour cibler l’OTAN

Crédit photo : GlebStock / Shutterstock