Le fait devient aussi banal qu’un trou I.E. : Flash Player 10.2.153.1* est encore affecté par une faille jugée critique par l’éditeur lui-même, commenté par Brian Krebs qui soupçonne fortement une exploitation du défaut, ce que confirme le billet du Sans : les mécréant de l’Internet utiliseraient comme véhicule un fichier Word intégrant du Flash, lequel, via son exploit, installerait une porte dérobée connue par certains sous le nom de Zolpiq.
Etrange, que tout çà. Il n’y a pas deux semaines, le coupable était une feuille Excel injectant, également à l’aide d’un contenu Flash, une backdoor « Poison Ivy ». S’agirait-il des mêmes méthodes utilisées par les mêmes fabricants de malwares ? Chi lo sa. Ce qui est certain, c’est que l’on ne pratique pas le fuzzing seulement dans les laboratoires de contrôle-qualité des éditeurs de logiciels. Demain, l’on entendra peut-être parler d’une attaque Flash sous PowerPoint, Groove, Outlook, Access, Publisher, Infopath, Picture Manager etc. Mais il faudra probablement attendre la version d’Office 2056 SP1 pour que l’on puisse voir apparaître une interface de gestion des « add-in » autorisés dans les programmes bureautiques en général et ceux de Microsoft en particulier.
Nul ne sait quand ce défaut Flash Player 10.2.153.1 sera corrigé. Il ne semble pas qu’Adobe envisage de publier un bouchon hors calendrier pour l’instant. Après tout, il ne s’agit que de la seconde faille « critique » (extrêmement critique même, estime Secunia) du genre.
Ndlc Note de la correctrice : croiseur touché. A moi, maintenant : Acrobat 12.9.5.7.314159… coup dans l’eau ?
