Bulletin de sécurité Adobe

Date de publication : 7 avril 2016

Dernière mise à jour : 12 avril 2016

Identifiant de vulnérabilité : APSB16-10

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2016-1006, CVE-2016-1011, CVE-2016-1012, CVE-2016-1013, CVE-2016-1014, CVE-2016-1015, CVE-2016-1016, CVE-2016-1017, CVE-2016-1018, CVE-2016-1019, CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1030, CVE-2016-1031, CVE-2016-1032, CVE-2016-1033

Plate-forme : Windows, Macintosh, Linux et ChromeOS

Adobe a publié des mises à jour de sécurité pour Adobe Flash Player pour Windows, Macintosh, Linux et ChromeOS.  Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.  

Adobe est conscient du fait que la vulnérabilité CVE-2016-1019 est activement exploitée sur les systèmes Windows 10 (et versions antérieures), dotés de Flash Player versions 20.0.0.306 et antérieures.  Consultez l’avis APSA16-01 pour plus d’informations. 

• Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.  
• Pour vérifier le numéro de la version d’Adobe AIR installée sur votre système, suivez les instructions de la note technique d’Adobe AIR (en anglais).
  

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau Adobe Flash Player pour Windows et Macintosh d’effectuer une mise à jour vers la version 21.0.0.213. Il leur suffit de suivre la procédure prévue à cet effet dans le produit s’ils y sont invités [1] ou de se rendre dans le Centre de téléchargement Adobe Flash Player.
• Adobe recommande aux utilisateurs de la version de support approfondi d’Adobe Flash Player d’effectuer une mise à jour vers la version 18.0.0.343, en consultant la page http://helpx.adobe.com/fr/flash-player/kb/archived-flash-player-versions.html.
• Adobe recommande aux utilisateurs d’Adobe Flash Player pour Linux d’installer la version 11.2.202.616 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player.
• La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour avec la dernière version de Google Chrome, qui inclut Adobe Flash Player 21.0.0.213 pour Windows, Macintosh, Linux et Chrome OS.
• La version d’Adobe Flash Player installée avec Microsoft Edge et Internet Explorer pour Windows 10 sera automatiquement mise à jour avec la dernière version, qui inclut Adobe Flash Player 21.0.0.213. 
• La version d’Adobe Flash Player installée avec Internet Explorer pour Windows 8.1 sera automatiquement mise à jour avec la dernière version, qui inclut Adobe Flash Player 21.0.0.213.
• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau AIR, du kit SDK AIR, et du compilateur et kit SDK AIR d’effectuer une mise à jour vers la version 21.0.0.198, en consultant le Centre de téléchargement AIR ou le Centre de développement AIR.
  
• Rendez-vous sur la page d’assistance Flash Player pour être aidé lors de l’installation de Flash Player.

• Ces mises à jour renforcent une limitation contre des attaques par pulvérisation JIT (Just-in-time), qui est susceptible d’être utilisée pour contourner des limites de randomisation du format de la mémoire (CVE-2016-1006).
• Ces mises à jour corrigent des vulnérabilités de confusion de type susceptibles d’entraîner l’exécution de code (CVE-2016-1015, CVE-2016-1019).
• Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2016-1011, CVE-2016-1013, CVE-2016-1016, CVE-2016-1017, CVE-2016-1031).
• Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2016-1012, CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1032, CVE-2016-1033).
• Ces mises à niveau corrigent une vulnérabilité de type débordement de pile susceptible d'entraîner l'exécution de code (CVE-2016-1018).
• Ces mises à niveau corrigent une vulnérabilité de type contournement de la sécurité (CVE-2016-1030).
• Ces mises à jour corrigent une vulnérabilité dans le chemin de recherche du répertoire utilisé pour identifier des ressources, qui est susceptible d’entraîner l’exécution de code (CVE-2016-1014).

• Yuki Chen de l’équipe Qihoo 360 Vulcan pour sa collaboration au programme ZDI de Trend Micro (CVE-2016-1015, CVE-2016-1016, CVE-2016-1017)
• Tencent PC Manager pour sa collaboration au programme ZDI de Trend Micro(CVE-2016-1018)
• Mateusz Jurczyk et Natalie Silvanovich du projet Google Project Zero (CVE-2016-1011, CVE-2016-1013)
• willj de Tencent PC Manager (CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1031, CVE-2016-1032, CVE-2016-1033)
• Stefan Kanthak (CVE-2016-1014)
• bo13oy de CloverSec Labs (CVE-2016-1012)
• Kang Yang de Qihoo 360 (CVE-2016-1006)
• Nicolas Joly de l’équipe de sécurité Microsoft (CVE-2016-1030)
• Kafeine (EmergingThreats/Proofpoint), Genwei Jiang (FireEye, Inc.) et Clement Lecigne de Google (CVE-2016-1019)

12 avril 2016 : informations concernant des mises à jour d’Adobe AIR disponibles pour les références CVE figurant dans ce bulletin.