– Gravité : 2/4
– Conséquences : accès/droits client, lecture de données
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 6
– Date création : 07/11/2008

PRODUITS CONCERNÉS

– Microsoft Windows - plateforme
– Red Hat Enterprise Linux
– Unix - plateforme

DESCRIPTION

Plusieurs vulnérabilités d’Adobe Flash Player permettent à un
attaquant d’obtenir des informations ou de mener diverses attaques.

Un attaquant peut modifier les entêtes HTTP afin de mener un Cross
Site Scripting. [grav:2/4 ; CVE-2008-4818]

Un attaquant peut mener une attaque DNS. [grav:2/4 ; CVE-2008-4819]

Un attaquant peut employer un attribut ActionScipt afin d’injecter
du code HTML. [grav:2/4 ; CVE-2008-4823]

Un attaquant peut employer un fichier de politique afin de
contourner la vérification de domaine. [grav:2/4 ; CVE-2008-4822]

Un attaquant peut employer le protocole jar : afin d’obtenir des
informations. [grav:1/4 ; CVE-2008-4821]

Un attaquant peut employer l’ActiveX Flash afin d’obtenir des
informations. [grav:2/4 ; CVE-2008-4820]

CARACTÉRISTIQUES

– Références : APSB08-20, BID-32129, CVE-2008-4818, CVE-2008-4819,
CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823,
RHSA-2008:0980-02, VIGILANCE-VUL-8230
– Url : http://vigilance.fr/vulnerabilite/8230