Le patch ne sera disponible qu'à partir du 12 mai. D’ici là, il faut éviter d’utiliser ce logiciel. Le mieux serait même de le désinstaller.

Cette semaine, c'est coup double. Alors que Microsoft vient de publier un patch Windows pour colmater une faille zero-day activement exploitée en Corée du Sud, Adobe nous informe qu'il existe également une faille zero-day (CVE-2016-4117) dans son fameux logiciel Flash Player. « Adobe a eu connaissance que la faille CVE-2016-4117 est actuellement exploitée par des pirates », peut-on lire dans une note d’information. Mais contrairement à Microsoft, Adobe ne fournit pas encore de patch. Celui-ci ne sera disponible que demain, dans le cadre de la mise à jour mensuelle de sécurité.


Cette faille zero-day a été découverte par un chercheur de FireEye (Genwei Jiang). Elle « existe dans les versions 21.0.0.226 et inférieures d’Adobe Flash Player, sur Windows, Mac, Linux et Chrome OS », nous avertit l’éditeur. Bref, elle fonctionne sur tous les ordinateurs. Son exploitation permet de générer un crash du logiciel et, le cas échéant, de prendre le contrôle du système. En attendant d’avoir le patch, il est recommandé de ne pas utiliser Flash. Pour cela, il faut désactiver le logiciel –voire même le désinstaller – dans le menu réglages de votre navigateur.


D’après le dernier rapport annuel de sécurité de Symantec (p. 40), Adobe Flash Player est le vecteur d’infection préféré des pirates. Parmi les 5 failles zero-day qui ont été le plus exploitées en 2015, quatre sont liées à Flash. Un bien triste record.