Date de publication : 21 septembre 2015
Dernière mise à jour : 23 septembre 2015
Identifiant de vulnérabilité : APSB15-23
Priorité : Voir le tableau ci-dessous
Numéro CVE: CVE-2015-5567, CVE-2015-5568, CVE-2015-5570, CVE-2015-5571, CVE-2015-5572, CVE-2015-5573, CVE-2015-5574, CVE-2015-5575, CVE-2015-5576, CVE-2015-5577, CVE-2015-5578, CVE-2015-5579, CVE-2015-5580, CVE-2015-5581, CVE-2015-5582, CVE-2015-5584, CVE-2015-5587, CVE-2015-5588, CVE-2015-6676, CVE-2015-6677, CVE-2015-6678, CVE-2015-6679, CVE-2015-6682
Plate-forme : toutes plates-formes
Adobe a publié des mises à jour de sécurité pour Adobe Flash Player. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.
| Produit | Versions concernées | Plate-forme |
|---|---|---|
| Environnement d’exécution pour bureau d’Adobe Flash Player | Versions 18.0.0.232 et antérieures |
Windows et Macintosh |
| Version de support approfondi Adobe Flash Player | Versions 18.0.0.232 et antérieures | Windows et Macintosh |
| Adobe Flash Player pour Google Chrome | Versions 18.0.0.233 et antérieures | Windows, Macintosh, Linux et ChromeOS |
| Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 | Versions 18.0.0.232 et antérieures | Windows 10 |
| Adobe Flash Player pour Internet Explorer 10 et 11 | Versions 18.0.0.232 et antérieures | Windows 8.0 et 8.1 |
| Adobe Flash Player pour Linux | Versions 11.2.202.508 et antérieures | Linux |
| Environnement d’exécution pour bureau d’Adobe AIR | Versions 18.0.0.199 et antérieures | Windows et Macintosh |
| Kit SDK AIR | Versions 18.0.0.199 et antérieures | Windows, Macintosh, Android et iOS |
| Kit SDK et compilateur AIR | Versions 18.0.0.180 et antérieures | Windows, Macintosh, Android et iOS |
| AIR pour Android | Versions 18.0.0.143 et antérieures | Android |
- Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.
- Pour vérifier le numéro de la version d'Adobe AIR installée sur votre système, suivez les instructions de la note technique sur Adobe AIR.
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
| Produit | Versions mises à jour | Plate-forme | Disponibilité | |
|---|---|---|---|---|
| Environnement d’exécution pour bureau d’Adobe Flash Player |
19.0.0.185 | Windows et Macintosh |
1 | Centre de téléchargement Flash Player Distribution de Flash Player |
| Version de support approfondi Adobe Flash Player | 18.0.0.241 | Windows et Macintosh |
1 | Extension d'assistance |
| Adobe Flash Player pour Google Chrome | 19.0.0.185 | Windows, Macintosh, Linux et ChromeOS | 1 | Versions Google Chrome |
| Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 | 19.0.0.185 | Windows 10 | 1 | Avis de sécurité Microsoft |
| Adobe Flash Player pour Internet Explorer 10 et 11 | 19.0.0.185 | Windows 8.0 et 8.1 |
1 | Avis de sécurité Microsoft |
| Adobe Flash Player pour Linux | 11.2.202.521 | Linux | 3 | Centre de téléchargement Flash Player |
| Environnement d’exécution pour bureau d’Adobe AIR | 19.0.0.190 | Windows et Macintosh | 3 | Centre de téléchargement AIR |
| Kit SDK AIR | 19.0.0.190 | Windows, Macintosh, Android et iOS | 3 | Téléchargement du kit SDK AIR |
| Kit SDK et compilateur AIR | 19.0.0.190 | Windows, Macintosh, Android et iOS | 3 | Téléchargement du kit SDK AIR |
| AIR pour Android | 19.0.0.190 | Android | 3 | Google Play |
- Adobe recommande aux utilisateurs des environnements d’exécution pour bureau d’Adobe Flash Player pour Windows et Macintosh d’effectuer une mise à jour vers la version 19.0.0.185, en consultant le Centre de téléchargement Adobe Flash Player ou en utilisant le processus de mise à jour s’ils y sont invités [1].
- Adobe recommande aux utilisateurs de la version de support approfondi d’Adobe Flash Player d’effectuer une mise à jour vers la version 18.0.0.241, en consultant la page http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
- Adobe recommande aux utilisateurs d’Adobe Flash Player pour Linux d’installer la version 11.2.202.521 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player.
- La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour vers la dernière version de Google Chrome, qui inclut Adobe Flash Player 19.0.0.185 sur Windows, Macintosh, Linux et Chrome OS.
- La version d’Adobe Flash Player installée avec Microsoft Edge pour Windows 10 sera automatiquement mise à jour vers la dernière version, qui inclut Adobe Flash Player 19.0.0.185.
- La version d’Adobe Flash Player installée avec Internet Explorer 10 et 11 pour Windows 8.0 et 8.1.x sera automatiquement mise à jour vers la dernière version, qui inclut Adobe Flash Player 19.0.0.185.
- Adobe recommande aux utilisateurs des environnements d’exécution pour bureau AIR, du kit SDK AIR, et du compilateur et kit SDK AIR d’effectuer une mise à jour vers la version 19.0.0.190, en consultant le Centre de téléchargement AIR ou le Centre de développement AIR.
- Adobe recommande aux utilisateurs d’AIR pour Android de passer à la version 19.0.0.190 en accédant au Google Play Store.
- Rendez-vous sur la page d’assistance Flash Player pour être aidé lors de l’installation de Flash Player.
[1] Les utilisateurs de Flash Player versions 11.2.x et ultérieures pour Windows ou de Flash Player versions 11.3.x et ultérieures pour Macintosh qui ont sélectionné l’option autorisant Adobe à installer les mises à jour recevront automatiquement la mise à jour. Les utilisateurs qui n'ont pas activé l'option de mise à jour automatique pourront installer la mise à jour par le mécanisme de mise à jour automatique du produit, lorsqu'ils y seront invités.
- Ces mises à jour corrigent une vulnérabilité de confusion de type susceptible d’entraîner l’exécution de code (CVE-2015-5573).
- Ces mises à jour corrigent des vulnérabilités de type utilisation de zone désallouée susceptibles d’entraîner l’exécution de code (CVE-2015-5570, CVE-2015-5574, CVE-2015-5581, CVE-2015-5584, CVE-2015-6682).
- Ces mises à jour corrigent des vulnérabilités de type débordement de la mémoire tampon susceptibles d’entraîner l’exécution de code (CVE-2015-6676, CVE-2015-6678).
- Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d’entraîner l’exécution de code (CVE-2015-5575, CVE-2015-5577, CVE-2015-5578, CVE-2015-5580, CVE-2015-5582, CVE-2015-5588, CVE-2015-6677).
- Ces mises à niveau incluent des vérifications de validation supplémentaires pour vous assurer que Flash Player rejette les contenus malveillants provenant des vulnérabilités des API avec fonction de rappel JSONP (CVE-2015-5571).
- Ces mises à jour corrigent une vulnérabilité du type fuite de mémoire (CVE-2015-5576).
- Ces mises à jour renforcent davantage une limitation en vue de prévenir les corruptions associées aux longueurs de vecteur (CVE-2015-5568).
- Ces mises à niveau corrigent des vulnérabilités de type corruption de pile susceptibles d’entraîner une exécution de code (CVE-2015-5567, CVE-2015-5579).
- Ces mises à niveau corrigent une vulnérabilité de type débordement de pile susceptible d'entraîner l'exécution de code (CVE-2015-5587).
- Ces mises à jour corrigent une vulnérabilité de type « contournement de sécurité » susceptible d’entraîner la divulgation d’informations (CVE-2015-5572).
- Ces mises à jour corrigent une vulnérabilité susceptible d’être exploitée pour ignorer les règles de même origine et entraîner la divulgation d’informations (CVE-2015-6679).
Adobe tient à remercier Wen Guanxing de Venustech ADLAB (participant au Chromium Vulnerability Rewards Program) d’avoir signalé plusieurs vulnérabilités dans la version bêta de Flash Player 19. Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé ces problèmes et joint leurs efforts aux nôtres pour assurer la sécurité des clients :
- Ben Hayak (CVE-2015-5571)
- Jing Chen Liu de l'équipe de recherche en sécurité d'Alibaba (CVE-2015-5587)
- Malte Batram (CVE-2015-6679)
- Natalie Silvanovich du projet Google Project Zero (CVE-2015-5574)
- Chris Evans, Ben Hawkes et Mateusz Jurczyk du projet Google Project Zero (-5575, CVE-2015-, CVE-2015-5576, CVE-2015-5577, CVE-2015-5578, CVE-2015-5579, CVE-2015-5580, CVE-2015-5584).
- instruder des centres d'intelligence Alibaba Security Threat (CVE-2015-5573, CVE-2015-6677)
- Tom Ferris pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-6678)
- bilou pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-5570)
- bilou (CVE-2015-5567)
- James Forshaw du projet Google Project Zero (CVE-2015-5568)
- Kai Kang de Tencent’s Xuanwu Lab (CVE-2015-5581)
- Alexey Rekish d'AddReality (CVE-2015-5572)
- LMX de Qihoo 360 (CVE-2015-5582, CVE-2015-5588, CVE-2015-6676)
- Yuki Chen de Qihoo 360 Vulcan Team pour sa contribution au Chromium Vulnerability Rewards Program (CVE-2015-6682)
21 septembre 2015 : ajout de remerciements supplémentaires pour Chris Evans et Yuki Chen de Qihoo 360 Vulcan Team (CVE-2015-6682).
23 septembre 2015 : ajout de remerciements pour Wen Guanxing, qui a signalé certaines vulnérabilités dans la version bêta de Flash Player 19, par l’intermédiaire du Chromium Vulnerability Rewards Program.