Adobe alerte d’une nouvelle faille de sécurité zero day (CVE-2015-0313) qui frappe Flash Player. Cette vulnérabilité classée comme « critique » par l’éditeur affecte la version 16.0.0.296 pour Windows et Mac du lecteur Flash et toutes les instances précédentes. Une exploitation réussie de ce bug peut causer une interruption brutale du système et permettre potentiellement à l’attaquant d’en prendre le contrôle.
La faille n’est pas seulement non corrigée aujourd’hui, elle est aussi exploitée. L’éditeur Trend Micro rapporte que la vulnérabilité serait exploitée avec Angler, le kit d’exploitation repéré fin janvier par un chercheur indépendant, Kafeine, sur les précédentes versions de Flash Player. « Selon nos données, les visiteurs du site populaire Dailymotion.com étaient redirigés vers une série de sites qui éventuellement mènent à l’URL hxxp://www.retilio.com/skillt.swf où l’exploit en soi est hébergé », indique Trend Micro qui surveille les attaques depuis le 14 janvier et a constaté un pic autour du 27 janvier.
Ce n’est pas la plate-forme d’hébergement de vidéos qui est infectée en soi mais la plate-forme publicitaire sur laquelle s’appuie Dailymotion pour diffuser les annonces à caractère commercial. Ce qui laisse supposer que l’attaque ne se limite probablement pas au seul site français de diffusion de vidéo. Mais l’éditeur n’indique pas d’autres références. Toujours selon Trend Micro, « la plupart des utilisateurs qui ont accédé au serveur malveillant lié à l’attaque proviennent des États-Unis ». Alors que la faille n’est pour l’heure pas corrigée, l’éditeur en sécurité préconise de désactiver Player Flash des navigateurs en attendant que la faille soit corrigée. Adobe souligne que les versions 11.x du lecteur ne sont pas concernées par la nouvelle vulnérabilité. De là à les substituer aux versions 16.x….
Lire également
Google déniche 3 failles Zero Day dans Mac OS X
Windows victime d’une faille zero-day liée à PowerPoint
Une faille zero day exploitée dans Windows pour cibler l’OTAN
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…