Adobe élimine les failles de ses deux applications phares gratuites : le lecteur de PDF Reader et la plate-forme Flash. L’offre Acrobat a droit elle aussi à des corrections de vulnérabilités.
Commençons par Flash, outil largement utilisé au sein des navigateurs web, mais aussi très présent dans les applications mobiles, via l’environnement d’exécution AIR. 19 failles de sécurité sont ici corrigées, d’un niveau critique. Comprenez par là qu’un pirate pourra les exploiter pour prendre le contrôle d’une machine à distance.
Le risque demeure toutefois peu élevé. Rappelons en effet que les applications AIR ne sont pas toutes connectées au web, et que le greffon Flash dans ses versions Microsoft et Google est protégé par un bac à sable intégré à Edge, Internet Explorer et Chrome. Les pirates peuvent donc pénétrer le PC via Flash, mais s’enliseront par la suite dans le bac à sable.
Sont concernés par ces failles : Flash Player 19.0.0.195 et inférieur (sous Windows et OS X, mais aussi au travers d’Edge, Internet Explorer 11 et Chrome) ; Flash Player Extended Support Release 18.0.0.241 et inférieur ; Flash Player 11.2.202.521 et inférieur sous Linux ; l’offre AIR 19.0.0.190 et inférieur.
Adobe recommande de basculer vers les dernières versions de ces logiciels, à savoir : Flash Player 19.0.0.207 ; Flash Player ESR 18.0.0.252 ; Flash Player pour Linux 11.2.202.535 ; AIR 19.0.0.213. Cette page du site web d’Adobe vous permettra de vérifier quelle mouture de Flash Player est installée sur votre machine. Dans la plupart des cas, la mise à jour sera assurée par le navigateur web ou le greffon lui-même.
Notez que depuis l’entrée en lice de ce train de correctifs, une nouvelle faille critique vient d’être découverte dans Flash Player (bulletin de sécurité CVE-2015-7645). Découverte par Trend Micro, cette vulnérabilité de type zero day (avec ‘exploit’) a été utilisée dans le cadre de cyberattaques menées contre divers ministères des affaires étrangères de par le monde. Cette faille n’est pas corrigée à ce jour.
Ce sont pas moins de 56 failles de sécurité qui sont éliminées des différents lecteurs (et générateurs) de PDF d’Adobe, dont un grand nombre de vulnérabilités zero day. Le risque est ici moins grand, un lecteur PDF étant en relation moins directe avec Internet qu’un navigateur web. La mise à jour immédiate de ces outils reste toutefois vivement recommandée.
Pour être protégé, il conviendra de disposer des versions suivantes de ces logiciels :
La mise à niveau d’Acrobat ou Reader ne sera pas assurée forcément de façon automatique. Il conviendra donc de vérifier l’existence de mises à jour depuis l’application elle-même.
À lire aussi :
Résultats : Adobe cartonne, mais reste prudent pour Q4 2015
Alerte aux failles critiques pour Adobe Flash Player 18
Firefox fermera la porte aux plug-ins à la fin 2016
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…