Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur le correctif de sécurité publié par Adobe en fin de semaine.
Description :
Vingt-quatre vulnérabilités ont été corrigées au sein d’Adobe Flash Player. Leur exploitation permettait à un attaquant de contourner certaines mesures de sécurité, voire de prendre le contrôle du système à distance.
Les failles de sécurités CVE-2016-1006 et CVE-2016-1030 provenaient d’erreurs permettant de contourner certaines restrictions de sécurité, telles que l’ASLR.
La vulnérabilité référencée CVE-2016-1014 était due à une erreur dans les chemins de recherche des ressources. Son exploitation permettait d’accéder au système.
Les failles de sécurité référencées CVE-2016-1015 et CVE-2016-1019 provenaient d’erreurs non spécifiées pouvant mener à des confusions de types. Leur exploitation pouvait mener à la compromission du système.
Enfin, les vulnérabilités référencées CVE-2016-1011, CVE-2016-1012, CVE-2016-1013, CVE-2016-1016, CVE-2016-1017, CVE-2016-1018 , CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1031 , CVE-2016-1032 et CVE-2016-1033 provenaient d’erreurs non spécifiées liées à la gestion de la mémoire (corruption de la mémoire, « use-after-free », dépassement de tampon sur le tas). Leur exploitation pouvait également mener à la compromission du système.
En incitant un internaute à ouvrir un site internet spécialement conçu, un pirate était en mesure de prendre le contrôle du système à distance.
Note : La vulnérabilité référencée CVE-2016-1019 serait déjà exploitée (APSA16-01, voir CXA-2016-1048).
Vulnérable(s) :
- Adobe Flash Player Desktop Runtime < 21.0.0.213 (Windows, Mac OS)
- Adobe Flash Player Extended Support Release < 18.0.0.343 (Windows, Mac OS)
- Adobe Flash Player pour Google Chrome < 21.0.0.213 (Windows, Mac OS, Linux et ChromeOS)
- Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 < 21.0.0.213 (Windows 10)
- Adobe Flash Player pour Internet Explorer 11 < 21.0.0.213 (Windows 8.1)
- Adobe Flash Player pour Linux < 11.2.202.616 (Linux)
Non vulnérable(s) :
- Adobe Flash Player Desktop Runtime = 21.0.0.213 (Windows, Mac OS)
- Adobe Flash Player Extended Support Release= 18.0.0.343 (Windows, Mac OS)
- Adobe Flash Player pour Google Chrome = 21.0.0.213 (Windows, Mac OS, Linux et ChromeOS)
- Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 = 21.0.0.213 (Windows 10)
- Adobe Flash Player pour Internet Explorer 11 = 21.0.0.213 (Windows 8.1)
- Adobe Flash Player pour Linux = 11.2.202.616 (Linux)
Recommandation :
Le CERT-XMCO recommande l’installation de la dernière version du logiciel disponible sur le site de l’éditeur aux adresses suivantes :
- Adobe Flash Player Desktop Runtime 21.0.0.213 (Windows, Mac OS)
- Adobe Flash Player 11.2.202.616 (Linux)
http://www.adobe.com/go/getflash
http://www.adobe.com/products/players/flash-player-distribution.html - Adobe Flash Player Extended Support Release 18.0.0.343 (Windows, Mac OS)
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html - Adobe Flash Player pour Google Chrome 21.0.0.213 (Windows, Mac OS, Linux et ChromeOS)
http://www.chromium.org/getting-involved/dev-channel - Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 21.0.0.213 (Windows 10)
- Adobe Flash Player pour Internet Explorer 11 21.0.0.213 (Windows 8.1)
http://go.microsoft.com/fwlink/?LinkI264959
Par ailleurs, les utilisateurs d’Adobe Flash peuvent utiliser simplement le mécanisme de mise à jour automatique. Ce mécanisme permet de vérifier régulièrement et automatiquement la disponibilité de nouvelles versions, voire d’installer les mises à jour disponibles sans intervention de la part de l’utilisateur.
Référence(s) :
- https://helpx.adobe.com/security/products/flash-player/apsb1610.html
- https://helpx.adobe.com/security/products/flash-player/apsa16-01.html
- https://leportail.xmco.fr/watch/advisory/CXA-2016-1048
Référence(s) CVE :
- CVE-2016-1033
- CVE-2016-1032
- CVE-2016-1031
- CVE-2016-1030
- CVE-2016-1029
- CVE-2016-1028
- CVE-2016-1027
- CVE-2016-1026
- CVE-2016-1025
- CVE-2016-1024
- CVE-2016-1023
- CVE-2016-1022
- CVE-2016-1021
- CVE-2016-1020
- CVE-2016-1019
- CVE-2016-1018
- CVE-2016-1017
- CVE-2016-1016
- CVE-2016-1015
- CVE-2016-1014
- CVE-2016-1013
- CVE-2016-1012
- CVE-2016-1011
- CVE-2016-1006
Référence CERT-XMCO :
CXA-2016-1087