Date de publication : 5 novembre 2008
Identifiant de vulnérabilité : APSB08-20
Référence CVE : CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823
Plate-forme : Toutes plates-formes
Des vulnérabilités potentielles ont été identifiées dans Adobe Flash Player version 9.0.124.0 ou antérieure dont un pirate pourrait tirer parti pour contourner les contrôles de sécurité de Flash Player. Adobe recommande aux utilisateurs d'installer la version la plus récente de Flash Player disponible pour leur plate-forme. Aucune action n'est requise de la part des utilisateurs ayant déjà installé Flash Player 10.0.12.36. Flash Player 9.0.151.0 corrige les problèmes signalés dans le présent bulletin, mais aussi ceux signalés dans les bulletins de sécurité APSB08-18* et APSB08-22*.
17 novembre 2008 – Ajout dans le bulletin d'informations sur la mise à niveau AIR 1.5 et bulletin de sécurité APSB08-22 *
5 novembre 2008 - Création du premier bulletin de sécurité
Adobe Flash Player versions 9.0.124.0 et antérieures.
Pour vérifier le numéro de version de Flash Player, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu Flash et sélectionnez "À propos d'Adobe (ou de Macromedia) Flash Player" dans le menu. Si vous utilisez plusieurs navigateurs, effectuez cette vérification pour chacun des navigateurs installés sur le système.
Adobe recommande à tous les utilisateurs de Flash Player version 9.0.124.0 ou antérieure d'installer la dernière version (10.0.12.36), en la téléchargeant depuis le Centre de téléchargement Player ou en utilisant le mécanisme de mise à niveau automatique intégré au produit.
Pour les utilisateurs qui ne peuvent effectuer la mise à niveau vers Flash Player 10, Adobe a développé une version de Flash Player 9 avec correctif, Flash Player 9.0.151.0, téléchargeable ici*.
Adobe juge cette mise à niveau essentielle en raison des problèmes précédemment décrits dans le bulletin APSB08-18* et recommande aux utilisateurs concernés de passer à la version 10.0.12.36.
Outre les problèmes précédemment signalés dans les bulletins de sécurité APSB08-18 et APSB08-22*, les mises à niveau vers Flash Player 10.0.12.36 et Flash Player 9.0.151.0 corrigent les problèmes décrits ci-dessous.
Dans cette mise à niveau, Flash Player interprète différemment les en-têtes de réponse HTTP afin de prévenir une vulnérabilité de type attaque multisite par scripts (XSS) (CVE-2008-4818).
Cette mise à niveau présente un changement capable de limiter l'impact de cette faille permettant à un pirate de procéder à une attaque de type "DNS rebinding". (CVE-2008-4819).
Cette mise à niveau introduit une interprétation plus stricte d'un attribut ActionScript afin de prévenir la vulnérabilité de type attaque par injection HTML (CVE-2008-4823).
Cette mise à niveau corrige un problème relatif à l'interprétation du fichier de régulation susceptible d'entraîner le contournement d'une règle de domaine non-racine (CVE-2008-4822).
Cette mise à niveau prévient les problèmes d'interprétation du protocole JAR par Flash Player dans les navigateurs Mozilla. Ces problèmes sont en effet susceptibles d'entraîner la divulgation d'informations (CVE-2008-4821).
Cette mise à niveau prévient un problème de divulgation d'informations propre à Windows dans le contrôle ActiveX de Flash Player (CVE-2008-4820).
Logiciels concernés |
Mise à niveau recommandée |
Disponibilité |
Flash Player version 9.0.124.0 ou antérieure |
10.0.12.36 |
|
Flash Player version 9.0.124.0 ou antérieure - diffusion en réseau |
10.0.12.36 |
|
Flash Player version 9.0.124.0 ou antérieure pour Linux |
10.0.12.36 |
|
AIR 1.1 |
AIR 1.5 |
|
Flash CS4 Professional |
10.0.12.36 |
|
Flex 3 |
10.0.12.36 |
Adobe tient à remercier les personnes et sociétés suivantes d'avoir signalé ces problèmes et de joindre leurs efforts aux nôtres pour assurer la sécurité de nos clients :
