Bulletin de sécurité Adobe

Date de publication : 16 juin 2016

Identifiant de vulnérabilité : APSB16-18

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4135, CVE-2016-4136, CVE-2016-4137, CVE-2016-4138, CVE-2016-4139, CVE-2016-4140, CVE-2016-4141, CVE-2016-4142, CVE-2016-4143, CVE-2016-4144, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148, CVE-2016-4149, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166, CVE-2016-4171

Plate-forme : Windows, Macintosh, Linux et ChromeOS

Adobe a publié des mises à jour de sécurité pour Adobe Flash Player pour Windows, Macintosh, Linux et ChromeOS.  Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.  

Adobe est conscient du fait que la vulnérabilité CVE-2016-4171 est présente sur Internet et est actuellement exploitée lors d’attaques ciblées et limitées. Consultez l’avis APSA16-03 pour plus d’informations.

• Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.  

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau Adobe Flash Player pour Windows et Macintosh d’effectuer une mise à jour vers la version 22.0.0.192. Il leur suffit de suivre la procédure prévue à cet effet dans le produit s’ils y sont invités [1] ou de se rendre dans le Centre de téléchargement Adobe Flash Player.
• Adobe recommande aux utilisateurs de la version de support approfondi d’Adobe Flash Player d’effectuer une mise à jour vers la version 18.0.0.360, en consultant la page http://helpx.adobe.com/fr/flash-player/kb/archived-flash-player-versions.html.
• Adobe recommande aux utilisateurs d’Adobe Flash Player pour Linux d’installer la version 11.2.202.626 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player.
• La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour avec la dernière version de Google Chrome, qui inclut Adobe Flash Player 22.0.0.192 pour Windows, Macintosh, Linux et Chrome OS.
• La version d’Adobe Flash Player installée avec Microsoft Edge et Internet Explorer sous Windows 10 et 8.1 sera automatiquement mise à jour vers la dernière version, qui inclut Adobe Flash Player 22.0.0.192. 
• Rendez-vous sur la page d’assistance Flash Player pour être aidé lors de l’installation de Flash Player.

[1] Les utilisateurs de Flash Player versions 11.2.x et ultérieures pour Windows ou de Flash Player versions 11.3.x et ultérieures pour Macintosh qui ont sélectionné l’option autorisant Adobe à installer les mises à jour recevront automatiquement la mise à jour. Les utilisateurs qui n'ont pas activé l'option de mise à jour automatique pourront installer la mise à jour par le mécanisme de mise à jour automatique du produit, lorsqu'ils y seront invités.

• Ces mises à jour corrigent des vulnérabilités de confusion de type susceptibles d’entraîner l’exécution de code (CVE-2016-4144, CVE-2016-4149).
• Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2016-4142, CVE-2016-4143, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148).
• Ces mises à jour corrigent des vulnérabilités de type « débordement de la mémoire tampon au niveau du tas » susceptibles d’entraîner l’exécution de code (CVE-2016-4135, CVE-2016-4136, CVE-2016-4138).
• Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4137, CVE-2016-4141, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166, CVE-2016-4171).
• Ces mises à jour corrigent une vulnérabilité dans le chemin de recherche du répertoire utilisé pour identifier des ressources, qui est susceptible d’entraîner l’exécution de code (CVE-2016-4140).
• Ces mises à jour corrigent une vulnérabilité susceptible d’être exploitée pour ignorer les règles de même origine et entraîner la divulgation d’informations (CVE-2016-4139). 
  

• Aleksandar Nikolic de Cisco Talos (CVE-2016-4132)
• Mateusz Jurczyk et Natalie Silvanovich du projet Google Project Zero (CVE-2016-4135, CVE-2016-4136, CVE-2016-4137, CVE-2016-4138)
• willJ de Tencent PC Manager (CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4134, CVE-2016-4166)
• Nicolas Joly de Microsoft Vulnerability Research (CVE-2016-4142, CVE-2016-4143, CVE-2016-4144, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148)
• Wen Guanxing de Pangu LAB (CVE-2016-4150, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156)
• LMX de l’équipe Qihoo 360 Codesafe Team (CVE-2016-4141)
• Dan Caselden de FireEye (CVE-2016-4140)
• Wen Guanxing de Pangu LAB. (CVE-2016-4151)
• Genwei Jiang de FireEye (CVE-2016-4149)
• Sebastian Lekies de Google (CVE-2016-4139)
• kelvinwang de Tencent PC Manager (CVE-2016-4133)
• Anton Ivanov de Kaspersky (CVE-2016-4171)