Bulletin de sécurité Adobe

Date de publication : 12 juillet 2016

Dernière mise à jour : 3 octobre 2016

Identifiant de vulnérabilité : APSB16-25

Priorité : Voir le tableau ci-dessous

Références CVE :  CVE-2016-4172, CVE-2016-4173, CVE-2016-4174, CVE-2016-4175, CVE-2016-4176, CVE-2016-4177, CVE-2016-4178, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4222, CVE-2016-4223, CVE-2016-4224, CVE-2016-4225, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246, CVE-2016-4247, CVE-2016-4248, CVE-2016-4249, CVE-2016-7020

Plate-forme : Windows, Macintosh, Linux et ChromeOS

Adobe a publié des mises à jour de sécurité pour Adobe Flash Player pour Windows, Macintosh, Linux et ChromeOS.  Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.  

• Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.  

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau Adobe Flash Player pour Windows et Macintosh d’effectuer une mise à jour vers la version 22.0.0.209. Il leur suffit de suivre la procédure prévue à cet effet dans le produit s’ils y sont invités [1] ou de se rendre dans le Centre de téléchargement Adobe Flash Player.
• Adobe recommande aux utilisateurs de la version de support approfondi d’Adobe Flash Player d’effectuer une mise à jour vers la version 18.0.0.366, en consultant la page http://helpx.adobe.com/fr/flash-player/kb/archived-flash-player-versions.html.
• Adobe recommande aux utilisateurs d’Adobe Flash Player pour Linux d’installer la version 11.2.202.632 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player.
• La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour avec la dernière version de Google Chrome, qui inclut Adobe Flash Player 22.0.0.209 pour Windows, Macintosh, Linux et Chrome OS.
• La version d’Adobe Flash Player installée avec Microsoft Edge et Internet Explorer sous Windows 10 et 8.1 sera automatiquement mise à jour vers la dernière version, qui inclut Adobe Flash Player 22.0.0.209. 
• Rendez-vous sur la page d’assistance Flash Player pour être aidé lors de l’installation de Flash Player.

[1] Les utilisateurs de Flash Player versions 11.2.x et ultérieures pour Windows ou de Flash Player versions 11.3.x et ultérieures pour Macintosh qui ont sélectionné l’option autorisant Adobe à installer les mises à jour recevront automatiquement la mise à jour. Les utilisateurs qui n'ont pas activé l'option de mise à jour automatique pourront installer la mise à jour par le mécanisme de mise à jour automatique du produit, lorsqu'ils y seront invités.

• Ces mises à jour corrigent une vulnérabilité de type « situation de compétition » susceptible d’entraîner la divulgation d’informations (CVE-2016-4247).

• Ces mises à jour corrigent des vulnérabilités de confusion de type susceptibles d’entraîner l’exécution de code (CVE-2016-4223, CVE-2016-4224, CVE-2016-4225).

• Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2016-4173, CVE-2016-4174, CVE-2016-4222, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4248, CVE-2016-7020).

• Ces mises à jour corrigent une vulnérabilité de type débordement de la mémoire tampon au niveau du tas susceptible d’entraîner une exécution de code (CVE-2016-4249).

• Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2016-4172, CVE-2016-4175, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246).

• Ces mises à jour corrigent une vulnérabilité du type fuite de mémoire (CVE-2016-4232).

• Ces mises à niveau corrigent des vulnérabilités de type corruption de pile susceptibles d’entraîner une exécution de code (CVE-2016-4176, CVE-2016-4177).

• Ces mises à niveau corrigent une vulnérabilité de type contournement de sécurité susceptible d'entraîner la divulgation d'informations (CVE-2016-4178)

• Yuki Chen de Qihoo 360 Vulcan Team pour sa contribution au Chromium Vulnerability Rewards Program (CVE-2016-4249)

• Nicolas Joly de Microsoft Vulnerability Research (CVE-2016-4173)

• Wen Guanxing de Pangu LAB (CVE-2016-4188, CVE-2016-4248)

• Jaehun Jeong(@n3sk) de WINS WSEC Analysis Team pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4222)

• Kai Kang (4B5F5F4B) pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4174)

• willJ de Tencent PC Manager (CVE-2016-4172)

• Natalie Silvanovich du projet Google Project Zero (CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232)

• Garandou Sara pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4223)

• Sébastien Morin de COSIG (CVE-2016-4179)

• Sébastien Morin et Francis Provencher de COSIG (CVE-2016-4175)
  

• Kurutsu Karen pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4225)

• Soroush Dalili et Matthew Evans du NCC Group (CVE-2016-4178)

• Yuki Chen de l’équipe Qihoo 360 Vulcan (CVE-2016-4180, CVE-2016-4181, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246)

• Yuki Chen de l’équipe Qihoo 360 Vulcan, Wen Guanxing de Pangu LAB et Tao Yan de Palo Alto Networks (CVE-2016-4182)

• Yuki Chen de l’équipe Qihoo 360 Vulcan et Tao Yan de Palo Alto Networks (CVE-2016-4237, CVE-2016-4238) 

• Junfeng Yang et Genwei Jiang de FireEye et Yuki Chen de Qihoo 360 Vulcan Team (CVE-2016-4185)

• Ohara Rinne pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4224)

• Francis Provencher de COSIG (CVE-2016-4176, CVE-2016-4177)

• Jie Zeng de Tencent Zhanlu Lab (CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221)

• JieZeng de Tencent Zhanlu Lab pour sa contribution au Chromium Vulnerability Rewards Program (CVE-2016-7020)

• Stefan Kanthak (CVE-2016-4247)

22 août 2016 : remerciements supplémentaires à Tao Yan de Palo Alto Networks pour les vulnérabilités CVE-2016-4237, CVE-2016-4238 et CVE-2016-4182.   

26 août 2016 : remerciements mis à jour pour CVE-2016-4175. 

3 octobre 2016 : remerciements mis à jour pour CVE-2016-7020.