Il y a urgence à appliquer une mise à jour Flash Player. Généralement, Adobe synchronise ses mises à jour de sécurité avec le Patch Tuesday de Microsoft. Mais lorsque le besoin est impérieux, il y a exception à la règle.
Un exploit pour cette vulnérabilité existe dans la nature et a notamment été intégré au kit d'exploits Angler très populaire auprès de ceux en quête de vulnérabilités Flash Player et Java. Adobe rapporte ainsi des attaques visant d'anciennes versions de Flash Player.
S'il faut patcher sans tarder, ladite vulnérabilité n'est pas considérée critique contrairement à une 0-day (pas de correctif pour le moment) sur laquelle Adobe enquête. Pour celle-ci, l'éditeur a connaissance de rapports d'attaques à l'encontre de systèmes exécutant Internet Explorer et Firefox sur Windows 8 (et versions antérieures).
Un exploit a également trouvé son chemin dans Angler pour des attaques de type drive-by-download où un malware est téléchargé automatiquement lors d'une consultation d'une page Web spécialement conçue.
Pour des kits d'exploits, il est plutôt inhabituel d'intégrer des exploits pour des vulnérabilités 0-day. En général, celles-ci sont gardées à l'écart d'outils de masse pour plus d'efficacité et une meilleure revente au marché noir.
Il est possible de connaître sa version de Flash Player installée en se rendant sur cette page et procéder si nécessaire à une mise à jour. Rappelons par ailleurs que pour IE10 et IE11 sur Windows 8.x ainsi que Google Chrome, la mise à jour de leur version de Flash est intégrée dans celle du navigateur.
Les plus prudents préféreront désactiver Flash Player dans le navigateur le temps que toutes les vulnérabilités soient corrigées.
D'après le dernier rapport annuel de Cisco sur la sécurité, 1 % des vulnérabilités connues en 2014 (43 sur 6 756) ont été exploitées par des cybercriminels. Les kits d'exploits demeurent largement utilisés par ceux-ci. Les attaques Flash ont diminué de 3 % mais les malwares Flash sont plus difficiles à détecter en interagissant avec JavaScript.
