Vulnérabilité
critique non corrigée dans Flash Player,
Adobe Reader et Acrobat (28/10/10)
MAJ 17/11/10 : un correctif
officiel est désormais disponible pour Adobe Reader/Acrobat
MAJ 05/11/10 : un correctif officiel
est désormais disponible pour Flash Player
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le lecteur Flash, intégré à
la plupart des navigateurs web pour visualiser les animations du
même nom, ainsi que dans des logiciels Adobe Reader et Acrobat.
L'exploitation d'une erreur dans la gestion des animations Flash
peut permettre à un individu malveillant ou à un virus
d'exécuter du code malicieux sur l'ordinateur de sa victime
à l'ouverture d'une animation Flash ou d'un document PDF
piégé.
LOGICIELS
CONCERNES :
Adobe Flash Player 10.1.85.3 et versions inférieures
Adobe Flash Player 10.1.95.2 et versions inférieures
Adobe Reader 9.4 et versions inférieures
Adobe Acrobat 9.4 et versions inférieures
Google Chrome Flash Plugin
RISQUE :
Critique
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment car ce défaut de
sécurité a été découvert alors
qu'il était déjà exploité de façon
malveillante (0-day). En attendant la publication des correctifs
officiels, les utilisateurs concernés peuvent appliquer les
mesures suivantes afin de réduire les risques d'exploitation
malveillante :
- se montrer particulièrement vigilant dans son utilisation
d'Internet, notamment vis-à-vis des fichiers douteux, des
liens hypertextes non sollicités ou des sites web non reconnus
comme sûrs (notamment les messages provenant d'un expéditeur
inconnu, les cartes postales virtuelles, etc.) ;
- concernant Adobe Reader/Acrobat : désactiver la
prise en charge de Flash par le logiciel (supprimer ou renommer
le fichier C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
ou C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll sous
Windows) OU désinstaller Adobe Reader/Acrobat (cette
dernière solution temporaire empêcher toutefois de
pouvoir ouvrir tous les fichiers PDF) ;
- concernant Flash Player : désactiver la prise
en charge de Flash dans le navigateur web (menu Outils > Options...)
OU désinstaller
le plug-in Flash Player (Menu Démarrer > Panneau de
Configuration > Ajout/suppression de programmes) en attendant
la disponibilité d'un correctif (ces solutions temporaires
perturbent toutefois de manière importante l'apparence
et/ou le fonctionnement de certains sites Internet). L'éditeur
indique cependant ne pas avoir connaissance d'attaques ciblant
Flash Player ;
- tenir à jour son antivirus. Les éditeurs publient
généralement de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
les défauts de sécurité non corrigés.
La diffusion d'un correctif est annoncée vers le 9 novembre
pour Flash Player et dans la semaine du 15 novembre pour Adobe Reader/Acrobat.
Les utilisateurs concernés peuvent s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité des correctifs
officiels dès leur publication.
INFORMATIONS
COMPLEMENTAIRES :
-> Bulletin
de sécurité Adobe n°APSA10-05 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|