CERT-XMCO : Correction de 32 vulnérabilités au sein d’Adobe Flash Player
juin 2010 par Marc Jacob
* Security update available for Adobe Flash Player
– Date : 11 Juin 2010
– Plateformes :
* Windows
* Mac OS X
* Linux
* Solaris
– Programmes :
* Adobe Flash Player
* Adobe Air
– Gravité : Urgente
– Exploitation : Distante
– Dommages :
Contournement de sécurité
Accès au système
Déni de service
– Description :
32 vulnérabilités ont été corrigées au sein de l’application Adobe Flash Player. L’exploitation de celles-ci permettait à un attaquant de provoquer un déni de service, de contourner certaines restrictions de sécurité, voire de compromettre un système.
* 28 vulnérabilités permettaient l’exécution de code malveillant et donc la compromission d’un système.
* 2 vulnérabilités permettaient à un attaquant de provoquer un déni de service.
* 1 vulnérabilité permettait de provoquer un déni de service, et potentiellement d’exécuter du code malveillant.
* 1 vulnérabilité permettait de mener des attaques de type "Cross-Site Scripting" (XSS).
Parmi les vulnérabilités corrigées figure la vulnérabilité actuellement exploitée intensivement sur internet (voir CXA-2010-0701 et APSA10-01), pour laquelle un exploit est également disponible (voir CXA-2010-0728). Pour rappel, la faille de sécurité provenait d’une erreur non spécifiée au sein d’Adobe Flash Player. Un débordement de tampon pouvait ainsi être exploité par un pirate distant afin de prendre le contrôle d’un système vulnérable. Cette faille affecte également les logiciels Adobe Reader et Adobe Acrobat. En effet, un fichier PDF peut embarquer un composant Flash au format ".SWF". La librairie "autoplay.dll" est alors en cause, puisqu’elle permet de faire le lien avec le lecteur Flash.
Des analyses de l’exploit sont disponibles dans la section "Références".
Note : actuellement, seules les versions Windows, Mac et Linux du correctif sont disponibles en téléchargement en version stable. Une version "Pre Realease" est néanmoins disponible pour Solaris.
Note 2 : Adobe profite de ce bulletin pour rappeler que la version 10.1.53.64 du Flash Player est la dernière version proposée pour les ordinateurs Apple reposants sur l’architecture Macintosh G3 utilisant des processeurs PowerPC. Certaines optimisations réalisées dans le logiciel ne sont en effet pas portables sur ces anciens processeurs.
– Vulnérable :
* Adobe Flash Player version 10.0.45.2 et antérieures
* Adobe AIR version 1.5.3.9130 et antérieures
– Non Vulnérable :
* Adobe Flash Player 10.1.53.64
* Adobe AIR 2.0.2.12610
– Référence :
http://www.adobe.com/support/security/bulletins/apsb10-14.html
http://blog.zynamics.com/2010/06/09/analyzing-the-currently-exploited-0-day-for-adobe-reader-and-adobe-flash/
http://www.h-online.com/security/news/item/Exploit-for-new-Flash-vulnerability-spreading-fast-1019485.html
http://community.websense.com/blogs/securitylabs/archive/2010/06/09/how-the-adobe-0-day-is-used-in-attacks.aspx
http://community.websense.com/blogs/securitylabs/archive/2010/06/09/having-fun-with-adobe-0-day-exploits.aspx
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0701
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0728
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4546
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3793
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2160
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2161
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2162
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2163
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2164
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2165
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2166
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2167
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2169
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2170
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2171
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2172
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2173
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2178
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2179
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2180
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2181
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2182
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2183
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2184
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2185
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2186
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2187
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2188
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2189
– Correction :
Nous vous recommandons de télécharger et d’installer la dernière version du logiciel concerné sur le site de l’éditeur :
* Adobe Flash Player 10.1.53.64 :
http://get.adobe.com/flashplayer/
* Adobe AIR 2.0.2.12610 :
Pour les utilisateurs ne pouvant pas mettre à jour leur lecteur Flash Player vers la version 10.1, Adobe a développé une version corrigée de Flash Player 9 (Flash Player 9.0.277.0) :
http://www.adobe.com/go/kb406791
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0734