Bulletin de sécurité Adobe

Avis de sécurité pour Adobe Flash Player

Date de publication : 2 février 2015

Dernière mise à jour : 4 février 2015

Identifiant de vulnérabilité : APSA15-02

Référence CVE : CVE-2015-0313

Plate-forme : toutes plates-formes

Synthèse

Une vulnérabilité critique (CVE-2015-0313) est présente dans Adobe Flash Player versions 16.0.0.296 et antérieures pour Windows et Macintosh.  Ce code malveillant est susceptible de provoquer un dysfonctionnement de l’application et de permettre à un pirate de prendre le contrôle du système concerné.  Notre équipe a connaissance des rapports indiquant que cette vulnérabilité est présente sur Internet par le biais d’attaques de type « Drive-by download » à l’encontre des systèmes utilisant Internet Explorer et Firefox sous Windows versions 8.1 et antérieures. 

ANNONCE (4 février) : les utilisateurs ayant activé la mise à jour automatique des environnements d’exécution pour bureau d’Adobe Flash Player recevront la version 16.0.0.305 à compter du 4 février. Cette version inclut un correctif pour CVE-2015-0313. Adobe prévoit de publier une mise à jour qui sera disponible au téléchargement durant la semaine du 5 février. Nous collaborons avec nos partenaires de distribution pour la rendre également disponible sur Google Chrome et Internet Explorer versions 10 et 11. Pour plus d’informations sur la mise à jour de Flash Player, veuillez consulter cet article.   

Versions logicielles concernées

  • Adobe Flash Player versions 16.0.0.296 et antérieures pour Windows et Macintosh
  • Adobe Flash Player version 13.0.0.264 et versions 13.x antérieures

Pour vérifier le numéro de version d’Adobe Flash Player installé sur le système, accédez à la page A propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player, puis sélectionnez "A propos d’Adobe (ou de Macromedia) Flash Player" dans le menu. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système. 

Degrés de gravité

Adobe considère qu’il s’agit d’une vulnérabilité·critique.

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé la vulnérabilité CVE-2015-0313 et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :

  • Elia Florio et Dave Weston de Microsoft 

  • Peter Pi de Trend Micro

Révisions

2 février 2015 : la version 11.x de Flash Player est supprimée de la liste des versions affectées.  Les versions 11.x et antérieures ne prennent pas en charge la fonctionnalité affectée par CVE-2015-0313.   

4 février 2015 : mise à jour effectuée pour inclure la version de Flash Player via la mise à jour automatique.