Date de publication : 15 octobre 2008
Identifiant de vulnérabilité : APSB08-18
Référence CVE : CVE-2007-6243, CVE-2008-3873, CVE-2008-4324, CVE-2008-4401, CVE-2007-4503
Plate-forme : toutes plates-formes
Des vulnérabilités potentielles ont été identifiées dans Adobe Flash Player version 9.0.124.0 ou antérieure dont un pirate pourrait tirer parti pour contourner les contrôles de sécurité de Flash Player. Adobe recommande aux utilisateurs d'installer la version la plus récente de Flash Player disponible pour leur plate-forme. Ces améliorations et modifications de sécurité pouvant avoir un impact sur le contenu existant, il est recommandé aux utilisateurs de consulter cet article du pôle de développement Adobe* pour vérifier si ces modifications affectent leur contenu et, le cas échant, appliquer immédiatement les changements nécessaires pour garantir une transition transparente.
Cette mise à niveau résout un problème précédemment décrit dans le bulletin de sécurité APSA08-08*.
Adobe Flash Player version 9.0.124.0 et antérieure.
Pour vérifier le numéro de version de Flash Player, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu Flash et sélectionnez "À propos d'Adobe (ou de Macromedia) Flash Player" dans le menu. Si vous utilisez plusieurs navigateurs, effectuez cette vérification pour chacun des navigateurs installés sur le système.
Adobe recommande à tous les utilisateurs de Flash Player version 9.0.124.0 ou antérieure d'installer la dernière version (10.0.12.36), en la téléchargeant depuis le Centre de téléchargement ou en utilisant le mécanisme de mise à niveau automatique intégré au produit. Adobe proposera dès novembre une mise à niveau vers Flash Player 9 pour les clients qui ne parviennent pas à évoluer vers Flash Player 10. Le présent bulletin de sécurité sera modifié en conséquence dès que la mise à niveau vers Flash Player 9 sera disponible.
Adobe classe cette vulnérabilité comme devant faire l'objet d'une mise à niveau importante* et recommande aux utilisateurs concernés d'effectuer la mise à jour en installant la version 10.0.12.36.
Ces améliorations et modifications de sécurité pouvant avoir un impact sur le contenu existant, il est recommandé aux utilisateurs de consulter cet article du portail Adobe Developer Connection* pour vérifier si ces modifications affectent leur contenu et, le cas échant, appliquer immédiatement les changements nécessaires pour garantir une transition transparente.
Cette mise à niveau résout un problème potentiel de clickjacking (détournement de clics) dans Flash Player. Le clickjacking ou détournement de clics est une menace affectant de nombreux navigateurs web dont un pirate pourrait tirer parti pour amener un utilisateur à cliquer sur un lien ou une boîte de dialogue sans qu'il ne s'en rende compte. Cette mise à niveau permet d'empêcher toute tentative d'attaque par clickjacking visant à détourner la webcam et le microphone d'un utilisateur de Flash Player. (CVE-2008-4503)
Cette mise à niveau inclut également des modifications supplémentaires permettant d'améliorer l'interprétation de fichiers de régulation inter-domaine dans Flash Player. Ces modifications visent à empêcher toute remontée d'autorisations du côté des serveurs web qui hébergent du contenu Flash et des fichiers de régulation inter-domaine. Pour plus d'informations, reportez-vous à cette section* de l'article du portail Adobe Developer Connection intitulé "Modification de la sécurité dans Adobe Flash Player 10". (CVE-2007-6243)
Cette mise à niveau introduit une fonctionnalité capable de limiter le risque de balayage des ports. Pour plus d'informations, consultez cet article du portail Adobe Developer Connection*. (CVE-2007-4324)
Cette mise à niveau introduit des modifications de l'API du presse-papiers permettant d'empêcher toute attaque à l'encontre de ce dernier. Pour plus d'informations, reportez-vous à cette section* de l'article du pôle de développement Adobe intitulé "Modification de la sécurité dans Adobe Flash Player 10". (CVE-2008-3873)
Cette mise à niveau introduit des modifications dans les API de transfert et de téléchargement de FileReference afin de rendre obligatoire l'intervention de l'utilisateur. Pour plus d'informations, reportez-vous à cette section* de l'article du portail Adobe Developer Connection intitulé "Modification de la sécurité dans Adobe Flash Player 10". (CVE-2008-4401)
Adobe proposera dès novembre une mise à niveau vers Flash Player 9 pour les clients qui ne parviennent pas à évoluer vers Flash Player 10. Le présent bulletin de sécurité sera modifié en conséquence dès que la mise à niveau vers Flash Player 9 sera disponible. Toutes les vulnérabilités de sécurité documentées ainsi que leurs solutions sont communiquées via le service de notification Adobe. Vous pouvez vous abonner à ce service à l'adresse suivante : http://www.adobe.com/cfusion/entitlement/index.cfm?e=szalert* Les utilisateurs ont également la possibilité de consulter les dernières informations disponibles directement sur le blogue de l'équipe de résolution des incidents pour les produits Adobe (Adobe Product Security Incident Response Team) à l'adresse suivante : http://blogs.adobe.com/psirt*
Logiciels concernés |
Mise à niveau recommandée |
Disponibilité |
Flash Player version 9.0.124.0 ou antérieure |
10.0.12.36 |
|
Flash Player version 9.0.124.0 ou antérieure - diffusion en réseau |
10.0.12.36 |
|
Flash Player version 9.0.124.0 ou antérieure pour Linux |
10.0.12.36 |
Adobe tient à remercie Robert Hansen (SecTheory*), Jeremiah Grossman (WhiteHat Security*), Eduardo Vela*, Matthew Mastracci (DotSpots*) et Liu Die Yu (TopsecTianRongXin*) d'avoir signalé la vulnérabilité de clickjacking et de joindre leur efforts aux nôtres pour assurer la sécurité de nos clients. (CVE-2008-4503)
Adobe tient à remercier Fukami (SektionEins) d'avoir signalé le problème de balayage des ports. (CVE-2007-4324)
En utilisant un logiciel d'Adobe Systems Incorporated ou de ses filiales ("Adobe"), vous acceptez les présentes clauses. À défaut, il vous est interdit d'utiliser ce logiciel. Les dispositions du Contrat de licence de l'utilisateur final accompagnant un fichier donné au moment de l'installation ou du téléchargement d'un logiciel prévaudront sur les dispositions ci-après.
L'exportation et la réexportation de logiciels Adobe sont régies par les EAR (Export Administration Regulations) américaines et il est interdit d'exporter ou de réexporter lesdits logiciels vers la Corée du Nord, Cuba, l'Iran, l'Irak, la Libye, le Soudan, la Syrie ou vers tout autre pays soumis à l'embargo des États-Unis. En outre, il est interdit de distribuer des logiciels Adobe à toute personne fichée sur les listes suivantes : Table of Denial Orders, Entity List ou List of Specially Designated Nationals.
En téléchargeant ou en utilisant un logiciel Adobe, vous certifiez ne pas être ressortissant de Corée du Nord, de Cuba, d'Iran, d'Irak, de Libye, du Soudan, de Syrie ou de tout autre pays soumis à l'embargo des États-Unis, ni être fiché sur les listes suivantes : Table of Denial Orders, Entity List ou List of Specially Designated Nationals. Si le logiciel est destiné à être utilisé avec une application ("application hôte") publiée par Adobe, Adobe vous concède une licence non exclusive d'utilisation dudit logiciel avec l'application hôte uniquement, sous réserve que vous possédiez une licence valide émanant d'Adobe pour l'application hôte. Sauf disposition contraire prévue plus haut, ledit logiciel vous est concédé sous licence dans le respect des conditions générales du Contrat de licence de l'utilisateur final régissant votre utilisation de l'application hôte.
DÉNI DE GARANTIE : VOUS RECONNAISSEZ QU'ADOBE NE VOUS A CONSENTI AUCUNE GARANTIE EXPRESSE CONCERNANT LE LOGICIEL ET QUE CE LOGICIEL VOUS EST FOURNI "EN L'ÉTAT" SANS GARANTIE D'AUCUNE SORTE. ADOBE REJETTE TOUTE GARANTIE, EXPRESSE OU TACITE, EN RAPPORT AVEC LE LOGICIEL, Y COMPRIS, NON LIMITATIVEMENT, TOUTE GARANTIE TACITE D'APTITUDE À UN USAGE PARTICULIER, DE NÉGOCIABILITÉ, DE QUALITÉ MARCHANDE OU DE NON-CONTREFAÇON DES DROITS D'UN TIERS. Certains États/juridictions interdisant l’exclusion de garanties tacites, il est possible que les limitations ci-avant ne s’appliquent pas à vous.
LIMITATION DE RESPONSABILITÉ : LA RESPONSABILITÉ D'ADOBE NE POURRA AUCUNEMENT ÊTRE ENGAGÉE À VOTRE ÉGARD EN CAS DE PERTE D'USAGE, D'INTERRUPTION D'ACTIVITÉ, OU DE TOUT TYPE DE DOMMAGE DIRECT, INDIRECT, ACCESSOIRE OU CONSÉCUTIF (MANQUE À GAGNER INCLUS), QUELLE QUE SOIT LA FORME D'ACTION MENÉE — POUR DÉFAUT D'EXÉCUTION DE CONTRAT, EN RESPONSABILITÉ CIVILE (Y COMPRIS POUR FAUTE), STRICTE RESPONSABILITÉ DU PRODUIT OU AUTRE — QUAND BIEN MÊME L'ÉVENTUALITÉ DE TELS DOMMAGES AURAIT ÉTÉ PORTÉE À LA CONNAISSANCE D'ADOBE. Certains États/juridictions interdisant l’exclusion ou la limitation de dommages accessoires ou consécutifs, il est possible que les limitations ci-avant ne s’appliquent pas à vous.
