Date de publication : 28 juillet 2009
Dernière mise à jour : 30 juillet 2009
Identifiant de vulnérabilité : APSA09-04
Références : CVE-2009-0901, CVE-2009-2495, CVE-2009-2493
Plate-forme : Internet Explorer sous Windows
Adobe Flash Player 9.0.159.0 et 10.0.22.87, ainsi que les versions 9.x et 10.x antérieures du logiciel, installés sous Windows et utilisés avec Internet Explorer, exploitent une version vulnérable de l'ATL (Active Template Library) de Microsoft mentionnée dans l'Avis de sécurité Microsoft 973882. Cette vulnérabilité critique pourrait permettre à un pirate de prendre le contrôle du système concerné.
Notez que cette vulnérabilité n'a été identifiée que dans les installations pour Internet Explorer sous Windows. Les autres installations de Flash Player (pour Firefox ou tout autre navigateur web sous Windows) ne sont pas concernées.
Adobe a mis à disposition des mises à niveau pour Adobe Flash Player afin de corriger ces problèmes de sécurité. Pour de plus amples informations, consultez le Bulletin de sécurité APSB09-10.
Il est conseillé aux utilisateurs d'installer le correctif MS09-034. Véritable mesure de défense en profondeur, cette mise à niveau de sécurité pour Internet Explorer atténue les vecteurs d'attaque connus dans Internet Explorer pour les composants et les contrôles tels que Flash Player, qui ont été développés avec des versions vulnérables d'ATL comme décrit dans l'Avis de sécurité Microsoft 973882 et le Bulletin de sécurité Microsoft MS09-035
Les utilisateurs peuvent aussi consulter les dernières informations disponibles sur ce problème directement sur le blogue de l'équipe de résolution des incidents pour les produits Adobe (Adobe Product Security Incident Response Team) à l'adresse http://blogs.adobe.com/psirt ou en s'abonnant au fil RSS sur http://blogs.adobe.com/psirt/atom.xml.
Adobe Flash Player 9.0.159.0 et 10.0.22.87 et versions 9.x et 10.x antérieures.
Adobe classe cette mise à niveau parmi les problèmes critiques.
30 juillet 2009 - Actualisation de l'avis de sécurité par un lien pointant vers le Bulletin de sécurité corrigeant ces problèmes de sécurité.
28 juillet 2009 - Création de l'avis de sécurité.
