Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Cette semaine, nous vous proposons le premier bulletin de sécurité d’Adobe de 2016 (publié le 29 décembre 2015) pour son produit Flash Player.
| Titre | Compromission d’un système via 19 vulnérabilités au sein de Flash Player (APSB16-01) |
| Titre officiel | Security updates available for Adobe Flash Player |
| Criticité |  Elevée |
| Date | 29 Decembre 2015 |
| Plateforme | Toutes |
| Programme | Adobe Flash Player |
| Exploitation | Distante |
| Dommage | Accès au système Contournement de sécurité |
| Description | 19 vulnérabilités ont été corrigées au sein d’Adobe Flash Player. Leur exploitation permettait à un attaquant de contourner des mécanismes de sécurité, voire de compromettre un système à distance.
L’ensemble des vulnérabilités provenait d’erreurs non spécifiées liées à la gestion de la mémoire (confusion de type, « use-after-free », dépassements de tampons). Celles-ci pouvaient être exploitées afin de provoquer une corruption de la mémoire et d’exécuter du code arbitraire sur le système de la victime. En incitant un internaute à visiter une page spécialement conçue, un attaquant était en mesure de prendre le contrôle du système. |
| Vulnérable | * Adobe Flash Player Desktop Runtime < 20.0.0.267 (Windows, Mac OS) * Adobe Flash Player Extended Support Release= 18.0.0.324 (Windows, Mac OS) * Adobe Flash Player pour Google Chrome < 20.0.0.267 (Windows, Mac OS, Linux et ChromeOS) * Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 < 20.0.0.267 (Windows 10) * Adobe Flash Player pour Internet Explorer 10 and 11 < 20.0.0.267 (Windows 8.0 and 8.1) * Adobe Flash Player pour Linux < 11.2.202.559 (Linux) * Adobe AIR Desktop Runtime < 20.0.0.233 * Adobe AIR SDK & Compiler < 20.0.0.233 * Adobe AIR SDK < 20.0.0.233 * Adobe AIR Androïd < 20.0.0.233 |
| Référence | https://helpx.adobe.com/security/products/flash-player/apsb16-01.html |
| Référence CVE | http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8459 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8460 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8634 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8635 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8636 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8638 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8639 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8640 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8641 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8642 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8643 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8644 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8645 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8646 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8647 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8648 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8649 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8650 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8651 |
| Correction | Le CERT-XMCO recommande l’installation de la dernière version du logiciel disponible sur le site de l’éditeur aux adresses suivantes :
* Adobe Flash Player Desktop Runtime 20.0.0.267 (Windows, Mac OS) * Adobe Flash Player Extended Support Release 18.0.0.324 (Windows, Mac OS) * Adobe Flash Player pour Google Chrome 20.0.0.267 (Windows, Mac OS, Linux et ChromeOS) * Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 20.0.0.267 (Windows 10) * Adobe AIR Desktop Runtime 20.0.0.233 * AIR SDK 20.0.0.233 (Windows, Mac OS X, Android et iOS 3) Par ailleurs, les utilisateurs d’Adobe Flash peuvent utiliser simplement le mécanisme de mise à jour automatique. Ce mécanisme permet de vérifier régulièrement et automatiquement la disponibilité de nouvelles versions, voire d’installer les mises à jour disponibles sans intervention de la part de l’utilisateur. |
| Id XMCO | CXA-2015-4153 |
| Lien extranet XMCO | https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-4153 |
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article