Les semaines se suivent et se ressemblent pour Adobe Flash : une nouvelle vulnérabilité jour zéro est découverte.
De référence CVE-2018-15982, découverte par Applied Threat Research (ATR) et Qihoo 360, elle est du type use-after-free, utilisation après libération de la mémoire.
Dans sa forme actuelle, elle s’intègre à un document Office, envoyé par courriel. Si la victime ouvre le document empoisonné, un appel ActiveX lance l’application Flash, qui télécharge un logiciel malveillant : un système de contrôle à distance qui collecte des informations et les transmet à un serveur de commande et contrôle.
Pour mémoire, on rappellera une règle d’or de sécurité : ne jamais ouvrir un document, une image ou un fichier lié à un courriel dont on ne connaît pas
Le mode d’opération ressemble à celui de Hacking Team, sans que les chercheurs en sécurité puissent définitivement lui attribuer ce logiciel malveillant.
La vulnérabilité est suffisamment critique pour qu’Adobe publie immédiatement un correctif de sécurité. Sur Windows, il est téléchargeable par Windows Update.
Adobe Flash est, depuis plus de dix ans, le vecteur le plus dangereux d’infestation des ordinateurs personnels. On a hâte qu’il disparaisse définitivement, en 2021.