Date de publication : 8 avril 2008
Identifiant de vulnérabilité : APSB08-11
Référence CVE : CVE-2007-5275, CVE-2007-6243, CVE-2007-6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654
Plate-forme : toutes plates-formes
On a identifié, dans Adobe Flash Player, de graves vulnérabilités dont un pirate pourrait tirer parti pour prendre le contrôle du système concerné. À cette fin, un fichier SWF malveillant doit être chargé dans Flash Player par l'utilisateur. Il est recommandé aux utilisateurs d'installer la version la plus récente de Flash Player disponible pour leur système d'exploitation.
Ces améliorations et modifications de sécurité pouvant avoir un impact sur le contenu Flash existant, il est recommandé aux développeurs de contenu de consulter cet article du pôle de développement Adobe* du mois de mars 2008 pour vérifier si ces modifications affectent leur contenu et, le cas échant, appliquer immédiatement les changements nécessaires pour garantir une transition transparente.
Adobe Flash Player versions 9.0.115.0 et antérieures, et 8.0.39.0 et antérieures.
Pour vérifier le numéro de version de Flash Player, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu Flash et sélectionnez "À propos d'Adobe (ou de Macromedia) Flash Player" dans le menu. Les personnes utilisant plusieurs navigateurs sont invitées à effectuer cette vérification pour chaque navigateur installé.
Adobe recommande à tous les utilisateurs de Flash Player versions 9.0.115.0 et antérieures d'installer la dernière version 9.0.124.0, en la téléchargeant depuis le Centre de téléchargement, ou en utilisant le mécanisme de mise à niveau automatique intégré au produit.
Adobe classe cette vulnérabilité comme devant faire l'objet d'une mise à niveau importante et recommande aux utilisateurs concernés d'effectuer la mise à jour en installant la version 9.0.124.0.
Cette mise à niveau résout les erreurs de validation en entrée identifiées dans Flash Player versions 9.0.115.0 et antérieures, susceptibles d'entraîner l'exécution d'un code quelconque. Ces vulnérabilités risquent d'apparaître par le biais de contenus diffusés à distance via le navigateur web de l'utilisateur, son client de messagerie ou toute autre application intégrant ou faisant référence à Flash Player. (CVE-2007- 0071, CVE-2007- 6019)
REMARQUE : il s'avère que des pirates ont réussi à tirer parti de la vulnérabilité portant la référence CVE-2007-0071.
Cette mise à niveau présente une fonctionnalité capable de limiter l'impact de cette faille permettant à un pirate de procéder à une attaque de type "DNS rebinding". Pour plus d'informations, consultez cet article du pôle de développement Adobe*. (CVE-2007-5275, CVE-2008-1655)
Cette mise à niveau présente une méthode plus conservatrice d'interprétation des fichiers de régulation inter-domaine pour Flash Player. Ces modifications visent à empêcher toute remontée d'autorisations du côté des serveurs web qui hébergent du contenu Flash et des fichiers de régulation inter-domaine. Pour plus d'informations, consultez cet article du pôle de développement Adobe*. (CVE-2007- 6243)
Cette mise à niveau offre une nouvelle fonction de sécurité permettant de vérifier les fichiers de régulation inter-domaine avant d'autoriser l'envoi d'en-têtes HTTP vers d'autres domaines par les fichiers SWF. Cette modification permet d'améliorer la sécurité des sites web en les protégeant contre les en-têtes HTTP malveillants provenant du contenu d'autres domaines. Pour plus d'informations, reportez-vous à cette note technique. (CVE-2008-1654)
Cette mise à niveau modifie la valeur par défaut allowScriptAccess, utilisée lorsque le paramètre n'est pas spécifié, qui passe de "always" (toujours) à "sameDomain" (même domaine) pour tous les fichiers SWF de la version 7 et des versions antérieures. Le comportement des anciens fichiers SWF est ainsi modifié pour correspondre au modèle de sécurité actuel et garantir une meilleure sécurité par défaut. Par ailleurs, pour éviter l'exécution de scripts dans des fichiers SWF non souhaités par l'auteur du contenu, les API qui n'ont pas été spécifiquement conçues pour interagir avec le navigateur n'autoriseront plus d'URL "javascript:". Les API getURL() et navigateToURL(), destinées à interagir avec le navigateur, continueront à accepter les URL “javascript:”. Ces modifications sont censées limiter l'impact des problèmes initialement décrits dans l'avis de sécurité Advisory APSA07-06. (CVE-2007-6637)
Ces améliorations et modifications de sécurité pouvant avoir un impact sur le contenu Flash existant, il est recommandé aux utilisateurs de consulter cet article du pôle de développement Adobe* du mois de mars 2008 pour vérifier si ces modifications affectent leur contenu et, le cas échant, appliquer immédiatement les changements nécessaires pour garantir une transition transparente.
Les utilisateurs concernés par les cas répertoriés ci-après sont invités à lire l'article* en détail :
– Utilisation de sockets ou de XMLSockets, quel que soit le domaine auquel le fichier SWF se connecte.
– Utilisation de addRequestHeader ou URLRequest.requestHeaders pour tous les appels de l'API réseau lors de l'envoi ou du chargement inter-domaine de données OU fourniture d'accès à du contenu résidant sur des domaines distants en tant que prestataire de services web.
– Utilisation de fichiers SWF exportés pour Flash Player 7 (SWF7) ou version antérieure devant absolument communiquer avec le code HTML d'hébergement.
– Utilisation d'URL “javascript:” via les API réseau pour communiquer en dehors d'un fichier SWF.
| Logiciels concernés | Mise à niveau recommandée | Disponibilité |
|---|---|---|
| Flash Player version 9.0.115.0 ou antérieure | 9.0.124.0 | Centre de téléchargement |
| Flash Player version 9.0.115.0 ou antérieure - diffusion en réseau | 9.0.124.0 | Licences applicables aux lecteurs Adobe* |
| Flash CS3 Professional | 9.0.124.0 | Mise à niveau de Flash Player 9 pour Flash CS3 Professional* |
| Flash Professional 8, Flash Basic | 8.0.42.0 | Mise à niveau Flash Player 8 pour Flash Basic 8 et Flash Professional 8* |
| Flex 3.0 | 9.0.124.0 | Flash Debug Player Updater* |
| AIR 1.0 | 1.0.1 | Centre de téléchargement AIR |
Adobe tient à remercier Alin Rad Pop (Secunia Research*) ainsi que Javier Vicente Vallejo et Shane Macaulay (TippingPoint's Zero Day Initiative*) qui ont signalé une erreur de validation en entrée et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients. (CVE-2007-6019)
Adobe tient à remercier Mark Dowd (ISS X-Force*) et wushi (team509*) de TippingPoint's Zero Day Initiative* qui ont signalé une erreur de validation en entrée et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients. (CVE-2007-0071)
Adobe tient à remercier Dan Boneh, Adam Barth, Andrew Bortz, Collin Jackson et Weidong Shao (université de Stanford*) qui ont signalé la vulnérabilité "DNS rebinding" et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients. (CVE-2007-5275)
Adobe tient à remercier Nathan McFeters et Rob Carter (Ernst and Young’s Advanced Security Center*) qui ont signalé la vulnérabilité "DNS rebinding" et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients. (CVE-2008-1655)
Adobe tient à remercier Tom Gallagher (Microsoft*) d'avoir signalé le problème relatif aux en-têtes HTML et de joindre ses efforts aux nôtres afin de protéger la sécurité de nos clients. (CVE-2008-1654)
Adobe tient à remercier Toshiharu Sugiyama (UBsecure, Inc.*) et JPCERT/CC* qui ont signalé les problèmes liés aux fichiers de régulation inter-domaine et ont joint leurs efforts aux nôtres pour assurer la sécurité de nos clients. (CVE-2007- 6243)
Adobe tient à remercier Rich Cannings (Google Security Team*) et Stefano Di Paola (Minded Security*) qui ont signalé les vulnérabilités potentielles de type attaque multisite par scripts dans les fichiers SWF. (CVE-2007-6637)
30 mai 2008 - Informations sur l'exploitation de la vulnérabilité CVE-2007-0071 ajoutées à la section Détails.
17 avril 2008 - Informations sur Flash CS3 Professional, Flash Professional 8 et Flash Basic ajoutées à la section Détails
8 avril 2008 - Création du premier avis de sécurité
