Bulletin de sécurité Adobe

Date de publication : 11 avril 2017

Identifiant de vulnérabilité : APSB17-10

Priorité : voir le tableau ci-dessous

Références CVE : CVE-2017-3058, CVE-2017-3059, CVE-2017-3060, CVE-2017-3061, CVE-2017-3062, CVE-2017-3063, CVE-2017-3064

Plates-formes : Windows, Macintosh, Linux et Chrome OS

Adobe a publié des mises à jour de sécurité pour Adobe Flash Player pour Windows, Macintosh, Linux et Chrome OS. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.  

• Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.  

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau Adobe Flash Player pour Windows, Macintosh et Linux de passer à Adobe Flash Player 25.0.0.148. Il leur suffit de suivre le processus de mise à jour au sein du produit [1] ou de se rendre dans le Centre de téléchargement Adobe Flash Player.
• La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour avec la dernière version de Google Chrome, qui inclut Adobe Flash Player 25.0.0.148 pour Windows, Macintosh, Linux et Chrome OS.
• La version d’Adobe Flash Player installée avec Microsoft Edge et Internet Explorer 11 pour Windows 10 et 8.1 sera automatiquement mise à jour avec la dernière version de ces navigateurs, qui inclut Adobe Flash Player 25.0.0.148.
• Consultez la page d’assistance Flash Player pour être aidé lors de l’installation de Flash Player.

[1] Les utilisateurs qui ont choisi l’option "Autoriser Adobe à installer les mises à jour" recevront la mise à jour automatiquement. Les utilisateurs qui n'ont pas activé l'option de mise à jour automatique pourront installer la mise à jour par le mécanisme de mise à jour automatique du produit, lorsqu'ils y seront invités.

• Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2017-3058, CVE-2017-3059, CVE-2017-3062, CVE-2017-3063). 
• Ces mises à jour corrigent une vulnérabilité de type « corruption de mémoire » susceptible d’entraîner l’exécution de code (CVE-2017-3060, CVE-2017-3061, CVE-2017-3064).

Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé ces problèmes particuliers et joint leurs efforts aux nôtres pour assurer la sécurité des clients :

• Mateusz Jurczyk et Natalie Silvanovich du projet Google Project Zero (CVE-2017-3061, CVE-2017-3064)
• Une personne anonyme ayant signalé le problème via le projet Zero Day Initiative de Trend Micro (CVE-2017-3014
• Keen Team pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3063)
• b5e4b07ed250ac8014390628445b0d26 pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3060)
• bee13oy de CloverSec Labs working pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3058)
• Yuki Chen de 360 Vulcan Team pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3062)