[PATCH] [ADOBE] Compromission d'un système via 19 vulnérabilités au sein de Flash Player (APSB16-01)

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Cette semaine, nous vous proposons le premier bulletin de sécurité d’Adobe de 2016 (publié le 29 décembre 2015) pour son produit Flash Player.

Bulletin CXA-2015-4153
Titre Compromission d’un système via 19 vulnérabilités au sein de Flash Player (APSB16-01)
Titre officiel Security updates available for Adobe Flash Player
Criticité Criticite Elevée
Date 29 Decembre 2015
Plateforme Toutes
Programme Adobe Flash Player
Exploitation Distante
Dommage Accès au système
Contournement de sécurité
Description 19 vulnérabilités ont été corrigées au sein d’Adobe Flash Player. Leur exploitation permettait à un attaquant de contourner des mécanismes de sécurité, voire de compromettre un système à distance.

L’ensemble des vulnérabilités provenait d’erreurs non spécifiées liées à la gestion de la mémoire (confusion de type, « use-after-free », dépassements de tampons). Celles-ci pouvaient être exploitées afin de provoquer une corruption de la mémoire et d’exécuter du code arbitraire sur le système de la victime.

En incitant un internaute à visiter une page spécialement conçue, un attaquant était en mesure de prendre le contrôle du système.

Vulnérable * Adobe Flash Player Desktop Runtime < 20.0.0.267 (Windows, Mac OS)
* Adobe Flash Player Extended Support Release= 18.0.0.324 (Windows, Mac OS)
* Adobe Flash Player pour Google Chrome < 20.0.0.267 (Windows, Mac OS, Linux et ChromeOS)
* Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 < 20.0.0.267 (Windows 10)
* Adobe Flash Player pour Internet Explorer 10 and 11 < 20.0.0.267 (Windows 8.0 and 8.1)
* Adobe Flash Player pour Linux < 11.2.202.559 (Linux)
* Adobe AIR Desktop Runtime < 20.0.0.233
* Adobe AIR SDK & Compiler < 20.0.0.233
* Adobe AIR SDK < 20.0.0.233
* Adobe AIR Androïd < 20.0.0.233
Référence https://helpx.adobe.com/security/products/flash-player/apsb16-01.html
Référence CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8459
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8460
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8634
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8635
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8636
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8638
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8639
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8640
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8641
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8642
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8643
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8644
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8645
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8646
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8647
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8648
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8649
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8650
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8651
Correction Le CERT-XMCO recommande l’installation de la dernière version du logiciel disponible sur le site de l’éditeur aux adresses suivantes :

* Adobe Flash Player Desktop Runtime 20.0.0.267 (Windows, Mac OS)
* Adobe Flash Player pour Linux 11.2.202.559 (Linux)
http://www.adobe.com/go/getflash
http://www.adobe.com/products/players/flash-player-distribution.html

* Adobe Flash Player Extended Support Release 18.0.0.324 (Windows, Mac OS)
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html

* Adobe Flash Player pour Google Chrome 20.0.0.267 (Windows, Mac OS, Linux et ChromeOS)
http://www.chromium.org/getting-involved/dev-channel

* Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 20.0.0.267 (Windows 10)
* Adobe Flash Player pour Internet Explorer 10 and 11 20.0.0.267 (Windows 8.0 and 8.1)
http://go.microsoft.com/fwlink/?LinkI264959

* Adobe AIR Desktop Runtime 20.0.0.233
http://get.adobe.com/air/

* AIR SDK 20.0.0.233 (Windows, Mac OS X, Android et iOS 3)
http://www.adobe.com/devnet/air/air-sdk-download.html

Par ailleurs, les utilisateurs d’Adobe Flash peuvent utiliser simplement le mécanisme de mise à jour automatique. Ce mécanisme permet de vérifier régulièrement et automatiquement la disponibilité de nouvelles versions, voire d’installer les mises à jour disponibles sans intervention de la part de l’utilisateur.

Id XMCO CXA-2015-4153
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-4153

Adrien Guinault

Découvrir d'autres articles