Avis de sécurité Adobe

Une vulnérabilité critique (CVE-2018-4878) est présente dans les versions Adobe Flash Player 28.0.0.137 et antérieures. Ces vulnérabilités sont susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

Adobe est conscient du fait que la vulnérabilité CVE-2018-4878 est présente sur Internet et est actuellement exploitée lors d’attaques ciblées et limitées contre les utilisateurs Windows. Ces attaques exploitent les documents Office comprenant du contenu Flash malveillant distribué par e-mail.

Adobe corrigera cette vulnérabilité dans une version qui devrait sortir durant la semaine du 5 février.

Pour obtenir les informations les plus récentes, les utilisateurs peuvent aussi consulter le blog de l’équipe PSIRT d’Adobe (Product Security Incident Response).

Versions concernées

Pour vérifier le numéro de version d’Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez "À propos d’Adobe (ou de Macromedia) Flash Player" dans le menu. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.

Limitation de risques

A partir de Flash Player 27, les administrateurs ont la possibilité de modifier le comportement de Flash Player dans Internet Explorer sous Windows 7 (et ses versions antérieures) en envoyant un message à l’utilisateur avant la lecture du contenu SWF.  Pour plus de détails, consultez ce guide d’administration.   

Les administrateurs peuvent également envisager de mettre en place la vue protégée pour Office. Cette vue protégée ouvre tout fichier marqué comme potentiellement dangereux en Lecture seule.  

Détails concernant la vulnérabilité

Remerciements

Adobe tient à remercier KrCERT/CC d’avoir signalé ce problème et joint ses efforts aux nôtres pour assurer la sécurité de nos clients.