Bulletin de sécurité Adobe

Date de publication : 13 octobre 2015

Dernière mise à jour : 7 janvier 2016

Identifiant de vulnérabilité : APSB15-25

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2015-5569, CVE-2015-7625, CVE-2015-7626, CVE-2015-7627, CVE-2015-7628, CVE-2015-7629, CVE-2015-7630, CVE-2015-7631, CVE-2015-7632, CVE-2015-7633, CVE-2015-7635, CVE-2015-7636, CVE-2015-7637, CVE-2015-7638, CVE-2015-7639, CVE-2015-7640, CVE-2015-7641, CVE-2015-7642, CVE-2015-7643, CVE-2015-7644

Plate-forme : toutes plates-formes

Adobe a publié des mises à jour de sécurité pour Adobe Flash Player.  Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

• Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.  

• Pour vérifier le numéro de la version d'Adobe AIR installée sur votre système, suivez les instructions de la note technique sur Adobe AIR. 

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau d’Adobe Flash Player pour Windows et Macintosh d’effectuer une mise à jour vers la version 19.0.0.207, en consultant le Centre de téléchargement Adobe Flash Player ou en utilisant le processus de mise à jour s’ils y sont invités [1].
• Adobe recommande aux utilisateurs de la version de support approfondi d’Adobe Flash Player d’effectuer une mise à jour vers la version 18.0.0.252, en consultant la page http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
• Adobe recommande aux utilisateurs d’Adobe Flash Player pour Linux d’installer la version 11.2.202.535 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player. 
• La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour vers la dernière version de Google Chrome, qui inclut Adobe Flash Player 19.0.0.207 sur Windows, Macintosh, Linux et Chrome OS.
• La version d’Adobe Flash Player installée avec Microsoft Edge pour Windows 10 sera automatiquement mise à jour vers la dernière version, qui inclut Adobe Flash Player 19.0.0.207.
• La version d’Adobe Flash Player installée avec Internet Explorer 10 et 11 pour Windows 8.0 et 8.1.x sera automatiquement mise à jour vers la dernière version, qui inclut Adobe Flash Player 19.0.0.207.
  
• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau AIR, du kit SDK AIR, et du compilateur et kit SDK AIR d’effectuer une mise à jour vers la version 19.0.0.213, en consultant le Centre de téléchargement AIR ou le Centre de développement AIR. 
• Rendez-vous sur la page d’assistance Flash Player pour être aidé lors de l’installation de Flash Player.

• Ces mises à jour corrigent une vulnérabilité susceptible d’être exploitée pour ignorer les règles de même origine et entraîner la divulgation d’informations (CVE-2015-7628).
• Ces mises à jour comprennent une fonction de défense en profondeur dans l’API Flash Broker (CVE-2015-5569).
• Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2015-7629, CVE-2015-7631, CVE-2015-7635, CVE-2015-7636, CVE-2015-7637, CVE-2015-7638, CVE-2015-7639, CVE-2015-7640, CVE-2015-7641, CVE-2015-7642, CVE-2015-7643, CVE-2015-7644).
• Ces mises à jour corrigent une vulnérabilité de type débordement de mémoire tampon susceptible d’entraîner l’exécution de code (CVE-2015-7632).
• Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2015-7625, CVE-2015-7626, CVE-2015-7627, CVE-2015-7630, CVE-2015-7633).
  

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients : 

• Dave « dwizzzle » Weston (CVE-2015-5569)
• bee13oy pour sa contribution au Chromium Vulnerability Rewards Program (CVE-2015-7633)
• instruder du Security Threat Information Center d’Alibaba pour sa contribution au projet Zero Day Initiative (CVE-2015-7629)
• Une personne anonyme pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-7632)
• Nicolas Joly et Natalie Silvanovich du projet Google Project Zero (CVE-2015-7644)
• bilou pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-7631)
• bilou pour sa contribution au projet Zero Day Initiative d’HP et Yuki Chen de Qihoo 360 Vulcan Team (CVE-2015-7643)
• instruder du Security Threat Information Center (CVE-2015-7630) d’Alibaba
• Jincheng Liu et Lijun Cheng de l’équipe de recherche de sécurité d’Alibaba (CVE-2015-7625, CVE-2015-7626)
• Kai Kang de Tencent’s Xuanwu LAB (CVE-2015-7627)
• Yuki Chen de Qihoo 360 Vulcan Team (CVE-2015-7635, CVE-2015-7636, CVE-2015-7637, CVE-2015-7638, CVE-2015-7639, CVE-2015-7640, CVE-2015-7641, CVE-2015-7642, CVE-2015-7643)
  
• M. Tokuji Akamine (CVE-2015-7628)
  

14 octobre 2015 : nouvelles références CVE attribuées à Yuki Chen de Qihoo 360 Vulcan Team

5 novembre 2015 : suppression de la référence CVE-2015-7634 du bulletin.  Cette référence CVE correspondait initialement à un problème de type « corruption de mémoire », alors qu’il s’agissait d’un problème de type « déréférencement des pointeurs NULL » non exploitable.

7 janvier 2016 : remerciements supplémentaires à M. Tokuji Akamine pour avoir signalé la vulnérabilité CVE-2015-7628