Un défaut dans Macromedia Flash Player, le lecteur gratuit d’animations Web de l’éditeur américain pourrait être exploité par des pirates. La faille a été découverte par Macromedia et par la société américaine spécialisée dans la sécurité eEye Digital Security, qui a débusqué l’an dernier le virus Code Red. Selon Marc Maiffret, de chez eEye, la vulnérabilité se situe au niveau d’un contrôle ActiveX, qui est mal géré par le lecteur. Les contrôles ActiveX sont des bouts de programme intégrés aux pages HTML pour les rendre dynamiques. Le contrôle incriminé se nomme FLASH.OCX. Il a été développé par Macromedia pour activer certaines fonctions du lecteur lorsque l’internaute passe sur une page Web contenant ce contrôle. Seul problème, Macromedia a découvert que les versions 6.23 et antérieures de son lecteur peuvent entraîner un dépassement de la mémoire tampon (1) lorsqu’elles rentrent en contact avec ce contrôle. Une personne malintentionnée pourrait créer un e-mail en HTML ou une page Web piégée, en exploitant les faiblesses de cette mauvaise cohabitation entre le contrôle et le lecteur. Elle pourrait donc provoquer volontairement un dépassement de mémoire tampon et exécuter du code malicieux sur l’ordinateur d’un utilisateur, afin d’en prendre le contrôle ou de lui inoculer un virus. Un problème préoccupant puisque, selon Macromedia, plus de 436 millions de copies de son lecteur Flash ont été téléchargées sur son site. 98% des internautes utilisent ce logiciel. Pour y remédier, il est possible de mettre à jour le lecteur Flash vers la nouvelle version 6.29, qui corrige la faille, en la téléchargeant sur le site de Macromedia.