CVE-2010-3654 : Adobe Flash Player Button Remote Code Execution

Chers lecteurs ZATAZ, faîtes-vous parti des 191 340 visiteurs sur le mois d’Octobre qui ont utilisé 94 versions Flash différentes ?! Si vous n’avez pas Flash d’installé, alors Internet pour vous doit être une plaie, mais dites-vous que vous risquez moins que les autres lecteurs de ZATAZ. Si vous faites partis des visiteurs ayant Flash d’installé, et que vous utilisez Adobe Reader, vous risquez de voir vos ordinateurs se transformer en passerelles à pirates informatique.

J’aime les statistiques et je vais vous en faire profiter.

  • 102 543 visiteurs ont la version 10.1 r85 de Flash d’installée.
  • 20 505 visiteurs ont la version 10.1 r82 de Flash d’installée.
  • 15 639 visiteurs ont la version 10.0 r45 de Flash d’installée.
  • 12 513 visiteurs ont la version 10.1 r53 de Flash d’installée.
  • 10 048 visiteurs ont la version 10.0 r32 de Flash d’installée.
  • 5 234 visiteurs ont la version 10.0 r22 de Flash d’installée.
  • 5 144 visiteurs ont la version 10.0 r42 de Flash d’installée.
  • 1 747 visiteurs ont la version 10.0 r12 de Flash d’installée.
  • 1 365 visiteurs ont la version 9.0 r124 de Flash d’installée.
  • Et finalement 11 044 n’ont pas de version de Flash détectée.
Adobe Flash version repartition for October 2010 on 191 340 users
Adobe Flash version repartition for October 2010 on 191 340 users

Mais ne vous inquiétez pas, si vous utilisez Adobe Reader, vous êtes tous des cibles potentielles d’internautes malveillants. La faute à APSA10-05, une des nombreuses vulnérabilités critiques découvertes ces derniers mois sur les produits Adobe.

Le 28 Octobre Fortinet annonce de façon synchronisée avec Adobe qu’un 0day, en cours d’exploitation sur Internet, a été détecté et que celui-ci permettrait de compromettre vos ordinateurs, lors de la lecture d’un PDF contenant une animation Flash malveillante.

Toutes les versions de Flash sont affectées, même la dernière version 10.1.85.3 disponible, et toutes les versions 9.x, dont la dernière en date, de Adobe Reader, que ce soit sous Windows, Macintosh, Linux, Solaris ou encore Android.

La mise à jour de Flash est prévue par Adobe, pour Windows, Macintosh, Linux, et Solaris le 4 Novembre (soit 8 jours après la découverte). Pour Android, il vous faudra attendre le 9 Novembre (soit 13 jours après la découverte), et pour les mises à jour de Adobe Reader le 15 Novembre (soit près de 20 jours après la découverte).

Ci-dessous une petite vidéo qui montre la facilité d’exploitation de cette vulnérabilité avec Metasploit.

En attendant les mises à jour, serrez les fesses, n’ouvrez pas de documents PDF, ne surfez plus sur Internet et priez pour qu’il n’y ait pas un autre 0day Flash qui soit découvert la semaine prochaine.