Avis de sécurité Flash Player | APSA18-01
Référence du bulletin Date de publication Priorité 
APSA18-01 1er février 2018 1

Récapitulatif

Une vulnérabilité critique (CVE-2018-4878) est présente dans les versions Adobe Flash Player 28.0.0.137 et antérieures. Ces vulnérabilités sont susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

Adobe est conscient du fait que la vulnérabilité CVE-2018-4878 est présente sur Internet et est actuellement exploitée lors d’attaques ciblées et limitées contre les utilisateurs Windows. Ces attaques exploitent les documents Office comprenant du contenu Flash malveillant distribué par e-mail.

Adobe corrigera cette vulnérabilité dans une version qui devrait sortir durant la semaine du 5 février.

Pour obtenir les informations les plus récentes, les utilisateurs peuvent aussi consulter le blog de l’équipe PSIRT d’Adobe (Product Security Incident Response).

Versions concernées

Produit Version  Plate-forme
Environnement d’exécution pour bureau d’Adobe Flash Player Versions 28.0.0.137 et antérieures Windows, Macintosh
Adobe Flash Player pour Google Chrome Versions 28.0.0.137 et antérieures Windows, Macintosh, Linux et Chrome OS 
Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 Versions 28.0.0.137 et antérieures Windows 10 et 8.1
Environnement d’exécution pour bureau d’Adobe Flash Player Versions 28.0.0.137 et antérieures Linux

Pour vérifier le numéro de version d’Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez "À propos d’Adobe (ou de Macromedia) Flash Player" dans le menu. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.

Limitation de risques

A partir de Flash Player 27, les administrateurs ont la possibilité de modifier le comportement de Flash Player dans Internet Explorer sous Windows 7 (et ses versions antérieures) en envoyant un message à l’utilisateur avant la lecture du contenu SWF.  Pour plus de détails, consultez ce guide d’administration.   

Les administrateurs peuvent également envisager de mettre en place la vue protégée pour Office. Cette vue protégée ouvre tout fichier marqué comme potentiellement dangereux en Lecture seule.  

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2018-4878

Remerciements

Adobe tient à remercier KrCERT/CC d’avoir signalé ce problème et joint ses efforts aux nôtres pour assurer la sécurité de nos clients.