Vidéo: Как установить / включить / отключить Adobe Flash Player в браузере Mozilla Firefox (Novembre 2024)
Les deux vulnérabilités «zero-day», CVE 2013-0643 et CVE 2013-0648, étaient exploitées lors d'attaques ciblées. Les utilisateurs étaient incités à cliquer sur un lien menant à un site Web hébergeant des fichiers Flash malveillants, a déclaré Adobe dans son avis de sécurité publié mardi. La société n’a pas crédité les organisations ou les chercheurs qui ont découvert les vulnérabilités «zero-day», mais a attribué à IBM X-force le signalement de la troisième faille de sécurité.
Les ingénieurs en sécurité d’Adobe de la conférence RSA ont également refusé de fournir des informations supplémentaires.
"L'exploit pour Cve 2013-0643 et CVE 2013-0648 est conçu pour cibler le navigateur Firefox", a déclaré Adobe dans l'avis.
Les pirates pourraient déclencher ces vulnérabilités et provoquer le blocage de Flash Player et le contrôle à distance de l'ordinateur, a déclaré Adobe. Les bugs du jour zéro sont liés à un problème d'autorisations avec le sandbox Firefox de Flash Player et à une faille dans la fonctionnalité ActionScript ExternalInterface, qui pourrait être exploitée pour exécuter du code malveillant. Le troisième bogue, qui n’était pas encore exploité, était une vulnérabilité de débordement de mémoire tampon dans un service de courtier Flash Player et pouvait être utilisé pour exécuter du code malveillant, a déclaré Adobe.
La mise à jour concerne toutes les versions de Flash sous Windows, Mac OS X et Linux. Les utilisateurs peuvent télécharger la dernière version sur le site Web d'Adobe ou activer les mises à jour en arrière-plan et laisser le logiciel récupérer la version automatiquement. Google et Microsoft mettront à jour Flash sous Chrome et Internet Explorer 10 (pour Windows 8) séparément.
Cette mise à jour Flash est le deuxième correctif hors bande pour Flash Player ce mois-ci, le troisième correctif Adobe en février et le quatrième correctif de ce type publié en 2013 jusqu'à présent.
Cela fait presque un an qu'Adobe a mis à jour les mises à jour automatiques pour Flash et Reader, et le taux de mises à jour a été impressionnant, a déclaré Brad Arkin, directeur principal de la sécurité et de la confidentialité chez Adobe, à SecurityWatch lors de la conférence RSA. Le modèle précédent dans lequel les utilisateurs étaient invités à télécharger les dernières mises à jour ne suffisait pas pour inciter les utilisateurs à appliquer le correctif à Flash Player, a déclaré Arkin. Avec le passage aux mises à jour en arrière-plan, le taux de réussite a été considérable.
Pour voir tous les articles de notre couverture RSA, consultez notre page Afficher les rapports.