Bulletin de sécurité Adobe

Date de publication : 13 septembre 2016

Dernière mise à jour : 4 octobre 2016

Identifiant de vulnérabilité : APSB16-29

Priorité : Voir le tableau ci-dessous

Références CVE  : CVE-2016-4271, CVE-2016-4272, CVE-2016-4274, CVE-2016-4275, CVE-2016-4276, CVE-2016-4277, CVE-2016-4278, CVE-2016-4279, CVE-2016-4280, CVE-2016-4281, CVE-2016-4282, CVE-2016-4283, CVE-2016-4284, CVE-2016-4285, CVE-2016-4287, CVE-2016-6921, CVE-2016-6922, CVE-2016-6923, CVE-2016-6924, CVE-2016-6925, CVE-2016-6926, CVE-2016-6927, CVE-2016-6929, CVE-2016-6930, CVE-2016-6931, CVE-2016-6932

Plate-forme : Windows, Macintosh, Linux et ChromeOS

Adobe a publié des mises à jour de sécurité pour Adobe Flash Player pour Windows, Macintosh, Linux et ChromeOS.  Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.  

• Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.  

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

• Adobe recommande aux utilisateurs des environnements d’exécution pour bureau Adobe Flash Player pour Windows et Macintosh d’effectuer une mise à jour vers la version 23.0.0.162. Il leur suffit de suivre la procédure prévue à cet effet dans le produit s’ils y sont invités [1] ou de se rendre dans le Centre de téléchargement Adobe Flash Player.
• Adobe recommande aux utilisateurs de la version de support approfondi d’Adobe Flash Player d’effectuer une mise à jour vers la version 18.0.0.375, en consultant la page http://helpx.adobe.com/fr/flash-player/kb/archived-flash-player-versions.html.
• Adobe recommande aux utilisateurs d’Adobe Flash Player pour Linux d’installer la version 11.2.202.635 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player.
• La version d’Adobe Flash Player installée avec Google Chrome sera automatiquement mise à jour avec la dernière version de Google Chrome, qui inclut Adobe Flash Player 23.0.0.162 pour Windows, Macintosh, Linux et Chrome OS.
• La version d’Adobe Flash Player installée avec Microsoft Edge et Internet Explorer sous Windows 10 et 8.1 sera automatiquement mise à jour vers la dernière version, qui inclut Adobe Flash Player 23.0.0.162.
• Rendez-vous sur la page d’assistance Flash Player pour obtenir de l'aide lors de l’installation de Flash Player.

[1] Les utilisateurs de Flash Player versions 11.2.x et ultérieures pour Windows ou de Flash Player versions 11.3.x et ultérieures pour Macintosh qui ont sélectionné l’option autorisant Adobe à installer les mises à jour recevront automatiquement la mise à jour. Les utilisateurs qui n'ont pas activé l'option de mise à jour automatique pourront installer la mise à jour par le mécanisme de mise à jour automatique du produit, lorsqu'ils y seront invités.

• Ces mises à jour corrigent une vulnérabilité de type « débordement d’entier » susceptible d’entraîner l’exécution de code (CVE-2016-4287). 
• Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2016-4272, CVE-2016-4279, CVE-2016-6921, CVE-2016-6923, CVE-2016-6925, CVE-2016-6926, CVE-2016-6927, CVE-2016-6929, CVE-2016-6930, CVE-2016-6931, CVE-2016-6932). 
• Ces mises à jour corrigent une vulnérabilité de type « contournement de sécurité » susceptible d’entraîner la divulgation d’informations (CVE-2016-4271, CVE-2016-4277, CVE-2016-4278). 
• Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2016-4274, CVE-2016-4275, CVE-2016-4276, CVE-2016-4280, CVE-2016-4281, CVE-2016-4282, CVE-2016-4283, CVE-2016-4284, CVE-2016-4285, CVE-2016-6922, CVE-2016-6924).
  

• Weizhong Qian de Neklab d’ART&UESTC (CVE-2016-4280) 
• Mumei pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4279) 
• Leone Pontorieri et Björn Ruytenberg (CVE-2016-4271) 
• Mateusz Jurczyk et Natalie Silvanovich du projet Google Project Zero (CVE-2016-4274, CVE-2016-4275) 
• Soroush Dalili et Matthew Evans du NCC Group (CVE-2016-4277) 
• Yuki Chen de Qihoo 6925 Vulcan Team pour sa contribution au Chromium Vulnerability Rewards Program (CVE-2016-6925, CVE-2016-6926) 
• willJ de Tencent PC Manager (CVE-2016-6923, CVE-2016-6924) 
• JieZeng de Tencent Zhanlu Lab pour sa contribution au Chromium Vulnerability Rewards Program (CVE-2016-6927, CVE-2016-6930, CVE-2016-6931, CVE-2016-6932) 
• Nicolas Joly de Microsoft Vulnerability Research (-4272, CVE-2016-, CVE-2016-4278) 
• Yuki Chen de Qihoo 6925 Vulcan Team (CVE-2016-4287, CVE-2016-6921, CVE-2016-6922, CVE-2016-6929) 
• b0nd@garage4hackers pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4276) 
• Tao Yan (@Ga1ois) de Palo Alto Networks (CVE-2016-4281, CVE-2016-4282, CVE-2016-4283, CVE-2016-4284, CVE-2016-4285)

13 septembre 2016 : les références CVE-2016-4182, CVE-2016-4237 et CVE-2016-4238 avaient été incluses par inadvertance dans la version originale de ce bulletin. Elles ont été supprimées. 

4 octobre 2016 : ajout de Björn Ruytenberg à la section dédiée aux remerciements.