Samedi, Adobe a marqué les deux bugs (CVE-2015-5122, CVE-2015-5123) dans un avis de sécurité pour la dernière version de Flash Player, qui affectent les versions 18.0.0.204 et versions antérieures du logiciel sur Windows, Mac et Linux. Adobe a même mis en garde, une note que “L’exploitation réussie pourrait provoquer un crash et potentiellement permettre à un attaquant de prendre le contrôle du système affecté, ». Adobe affirme qu’il attend pour pousser les mises à jour de sécurité pour les défauts à un certain stade cette semaine. Dans sa note, Adobe a tenue à remercier Dhanesh Kizhakkinan de FireEye pour avoir signaler la faille critique CVE-2015-5122 et Peter Pi de TrendMicro pour signaler CVE-2015-5123 et pour travailler avec Adobe pour aider à protéger ses clients.

Adobe prévoit de faire des mises à jour disponibles au cours de la semaine du 12 Juillet 2015

Étant donné qu’il n’y a pas un patch disponible pour l’instant, il peut être judicieux de désactiver Flash Player jusqu’à ce qu’il soit libéré.

Les criminels qui vendent des boîtes à outils pour l’exploitation de masse ont commencé à intégrer le premier bug de Flash découvert dans les dossiers de l’équipe de Hacking en quelques heures. Exploit kits sont utilisés pour créer des réseaux d’ordinateurs compromis. Les chercheurs en sécurité chez TrendMicro et FireEye sont crédités de rapports CVE-2015-5122 et CVE-2015-5123, respectivement. Les deux sociétés ont découvert le développements à un stade précoce d’outils qui pourraient exploiter les failles connues, comme preuve de concepts (POC).

Cependant, même après que ces défauts soient corrigés, Adobe Flash Player sera toujours un énorme risque de sécurité.

Alex Stamos , chef de la sécurité à Facebook, a exhorté hier qu’«Adobe … a annoncé la date de fin de vie pour Flash », ajoutant que les navigateurs devraient désactiver flash dans le même temps. Pour tenir compte des conseils de Stamos, vous pouvez laisser flash a invalidité permanente, bien que vous ne serez pas en mesure d’afficher de nombreuses animations et, ainsi, les annonces animées. Une solution moins radicale est de mettre en Flash pour « cliquer pour fonctionner »; toute animation Flash qui veut courir devra d’abord avoir  votre permission.

Source : Adobe Flash Player: découverte de deux failles critiques juste en une semaine