Vidéo: NETTOYER & PROTÉGER efficacement son PC ! (Novembre 2024)
Adobe a corrigé deux failles de sécurité critiques dans Flash Player, toutes deux faisant l'objet d'une attaque active. Si les mises à jour automatiques ne sont pas activées, vous devez télécharger la dernière version et l'installer immédiatement.
La société est au courant des attaques dans la nature qui ciblent les versions Flash pour Windows et Mac OS X, a déclaré Adobe dans son avis de sécurité d'urgence publié le 7 février. Les utilisateurs de ces systèmes d'exploitation exécutant Flash Player 11.5.502.146 et les versions antérieures doivent mettre à jour Adobe Flash Player 11.5.502.149 dès que possible, a déclaré Adobe dans son avis. Adobe a également publié les versions mises à jour de Flash Player pour Linux et Android, mais ces deux plates-formes ne sont actuellement pas attaquées.
Google mettra automatiquement à jour le lecteur Flash intégré à Chrome et Microsoft fera de même pour Internet Explorer 10. Les utilisateurs peuvent vérifier ici la version de Flash qu’ils ont installée et s’ils doivent le mettre à jour.
"Ces mises à jour corrigent des vulnérabilités susceptibles de provoquer un crash et permettant éventuellement à un attaquant de prendre le contrôle du système affecté", a déclaré Adobe dans l'avis.
Bugs sous attaque
Les attaquants ont exploité CVE-2013-0633 via un document Microsoft Word piégé contenant du code Flash malveillant joint à un courrier électronique. Cet exploit a ciblé la version ActiveX de Flash Player sous Windows, selon Adobe. Un compromis réussi permettrait à l'attaquant de pouvoir exécuter du code à distance et d'avoir un contrôle total, a averti Adobe.
L’autre vulnérabilité, CVE-2013-0634, visait Safari et Firefox sur Mac OS X. Les utilisateurs qui ont atterri sur le site Web hébergeant du contenu Flash malveillant ont déclenché une attaque par téléchargement. Drive-by-download fait référence à un style d'attaque qui s'exécute automatiquement sans que l'utilisateur ait à faire quoi que ce soit. Cette vulnérabilité est également utilisée contre les utilisateurs Windows via des documents Word malveillants. Ce bogue, s'il était exploité avec succès, donnerait également à l'attaquant le contrôle total de l'ordinateur.
Une commande par téléchargement est dangereuse car "les interactions habituelles des utilisateurs, les avertissements et les sauvegardes de votre logiciel sont contournés, de sorte que la simple lecture d'une page Web ou la visualisation d'un document peut entraîner une installation en arrière-plan subreptice", écrit Paul Ducklin, de Sophos. sur le blog Naked Security.
Des attaques ciblées contre qui?
Il n'y a pas beaucoup de détails sur les attaques elles-mêmes, mais Adobe a crédité les membres de la Shadowserver Foundation, l'équipe de réponse aux incidents de Lockheed Martin et MITRE pour avoir signalé la vulnérabilité Mac. Les chercheurs de Kaspersky Lab ont le droit de trouver le bogue Windows. Il est possible que Lockheed Martin et MITRE aient été nommés parce qu'ils ont trouvé les documents Word malveillants lors d'une attaque ciblée contre leurs systèmes. De telles attaques sont courantes dans les industries de la défense, de l'aérospatiale et dans d'autres industries, et Lockheed Martin a déjà été témoin d'attaques similaires.
Les chercheurs de FireEye Malware Intelligence Lab ont analysé les documents Word utilisés pour cibler les systèmes Windows et ont identifié un script d'action nommé "LadyBoyle" dans le code Flash. Le script LadyBoyle place plusieurs fichiers exécutables et un fichier de bibliothèque DLL sur des machines Windows sur lesquelles le composant ActiveX est installé, a déclaré Thoufique Haq, chercheur de FireEye, sur le blog du laboratoire. Alors que les fichiers d'attaque ont été compilés le 4 février dernier, la famille de logiciels malveillants n'est pas nouvelle et a déjà été observée lors d'attaques précédentes, a déclaré Haq.
"Il est intéressant de noter que, même si le contenu des fichiers Word est en anglais, la page de codes des fichiers Word est en 'chinois simplifié Windows (PRC, Singapour)'", écrit Haq.
L'un des fichiers exécutables supprimés contient également un certificat numérique non valide de MGame, une société de jeux coréenne. Comme de nombreux autres types de programmes malveillants actifs, cette variante vérifie si les outils antivirus de Kaspersky Lab ou de ClamAV sont exécutés sur le système, selon FireEye.
