C'est une mise à jour de sécurité hors cycle pour Flash Player. Cette publication pour combler une vulnérabilité de sécurité critique répond donc à une urgence. Elle est légitimée par le fait qu'un exploit existe dans la nature et est utilisé dans le cadre d'attaques ciblées.

zero-day Les détails manquent toutefois pour le moment. Tout juste sait-on que ces attaques visent des utilisateurs de Windows 7 à 10. La vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance. Elle est en rapport avec des problèmes de corruption de mémoire.

A priori, des attaquants peuvent donc utiliser des données après la libération de l'espace mémoire afin d'exécuter du code potentiellement malveillant à distance.

La vulnérabilité CVE-2016-7855 a été divulguée de manière privée auprès d'Adobe par deux chercheurs en sécurité du Threat Analysis Group de Google. À titre indicatif, un de ces chercheurs est connu pour avoir débusqué la faille Heartbleed en 2014, suite à l'examen du code source de OpenSSL.

Comme à chaque fois, il est possible de connaître sa version de Flash Player en se rendant sur cette page et procéder le cas échéant à un téléchargement (pour la version 23.0.0.205). Pour les navigateurs intégrant Flash Player par défaut, il faudra attendre leur mise à jour.