Bulletin de sécurité Adobe

Date de publication : 9 décembre 2014

Identifiant de vulnérabilité : APSB14-27

Priorité : Voir le tableau ci-dessous

Référence CVE : CVE-2014-0580, CVE-2014-0587, CVE-2014-8443, CVE-2014-9162, CVE-2014-9163, CVE-2014-9164 

Plate-forme : toutes plates-formes

Adobe a publié des mises à niveau de sécurité pour Adobe Flash Player pour Windows, Macintosh et Linux.   Ces mises à niveau corrigent des vulnérabilités susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

Adobe est conscient que des tentatives d'exploitation de CVE-2014-9163 existent et recommande aux utilisateurs de mettre à niveau leurs produits avec les dernières versions :

• Les utilisateurs des environnements d’exécution pour bureau d’Adobe Flash Player pour Windows et Macintosh sont invités à passer à la version 16.0.0.235.
• Les utilisateurs de la version de support approfondi Adobe Flash Player sont invités à passer à la version 13.0.0.259.
• Les utilisateurs d’Adobe Flash Player pour Linux sont invités à passer à la version 11.2.202.425.
• Adobe Flash Player installé avec Google Chrome, ainsi qu’Internet Explorer sous Windows 8.x, sera automatiquement mis à jour vers la version actuelle.

Remarque : les utilisateurs qui sont passés à la version 15.0.0.246 ne sont pas concernés par CVE-2014-9163.

• Adobe Flash Player versions 15.0.0.242 et antérieures
• Adobe Flash Player version 13.0.0.258 et versions 13.x antérieures
• Adobe Flash Player versions 11.2.202.424 et antérieures pour Linux

Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.

Adobe recommande aux utilisateurs d’effectuer la mise à niveau de leurs installations en procédant comme suit :

• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau d’Adobe Flash Player pour Windows et Macintosh d’effectuer une mise à jour vers la version 16.0.0.235, en consultant le Centre de téléchargement Adobe Flash Player ou en utilisant le processus de mise à jour s’ils y sont invités.
• Adobe recommande aux utilisateurs de la version de support approfondi d’Adobe Flash Player d’effectuer une mise à jour vers la version 13.0.0.259, en consultant la page http://helpx.adobe.com/fr/flash-player/kb/archived-flash-player-versions.html.
• Adobe recommande aux utilisateurs d’Adobe Flash Player pour Linux d’installer la version 11.2.202.425 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player.
• La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour vers la dernière version de Google Chrome, qui inclut Adobe Flash Player 16.0.0.235.
• La version d’Adobe Flash Player installée avec Internet Explorer pour Windows 8.x sera automatiquement mise à jour avec la dernière version, qui inclut Adobe Flash Player 16.0.0.235.

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Ces mises à jour corrigent des vulnérabilités critiques du logiciel.

Adobe a publié des mises à niveau de sécurité pour Adobe Flash Player pour Windows, Macintosh et Linux.   Ces mises à niveau corrigent des vulnérabilités susceptibles de permettre à un pirate de prendre le contrôle du système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :

• Les utilisateurs des environnements d’exécution pour bureau d’Adobe Flash Player pour Windows et Macintosh sont invités à passer à la version 16.0.0.235.
• Les utilisateurs de la version de support approfondi Adobe Flash Player sont invités à passer à la version 13.0.0.259.
• Les utilisateurs d’Adobe Flash Player pour Linux sont invités à passer à la version 11.2.202.425.
• Adobe Flash Player installé avec Google Chrome, ainsi qu’Internet Explorer sous Windows 8.x, sera automatiquement mis à jour vers la version actuelle.

Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d’entraîner l’exécution de code (CVE-2014-0587, CVE-2014-9164).

Ces mises à jour corrigent une vulnérabilité de type « utilisation de zone désallouée » susceptible d’entraîner l’exécution de code (CVE-2014-8443).

Ces mises à jour corrigent une vulnérabilité de type débordement de mémoire tampon basée sur la pile susceptible d’entraîner l’exécution de code (CVE-2014-9163).

Ces mises à jour corrigent une vulnérabilité susceptible d’entraîner la divulgation d’informations (CVE-2014-9162).

Ces mises à jour corrigent une vulnérabilité pouvant être utilisée pour contourner la stratégie de même origine (CVE-2014-0580). 

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

• bilou pour sa contribution au projet Zero Day Initiative d’HP (CVE-2014-9163)
• Fermin J. Serna, Mateusz Jurczyk et Ben Hawkes de l’équipe de sécurité de Google (CVE-2014-0587)
• Haifei Li de l’équipe McAfee Labs IPS (CVE-2014-8443)
• Tavis Ormandy et Chris Evans du projet Google Project Zero (CVE-2014-9164)
• Toshiharu Sugiyama de DeNA Co. Ltd (CVE-2014-0580)
• Wen Guanxing de Venustech ADLAB pour sa contribution au projet Zero Day Initiative d’HP (CVE-2014-9162)