Date de publication : 30 juillet 2009
Dernière mise à jour : 3 août 2009
Identifiant de vulnérabilité : APSB10-09
Références : CVE-2009-1862, CVE-2009-0901, CVE-2009-2495, CVE-2009-2493, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Plate-forme : toutes plates-formes
Des vulnérabilités critiques ont été identifiées dans les versions actuelles d'Adobe Flash Player (v9.0.159.0 et v10.0.22.87) pour les systèmes d'exploitation Windows, Macintosh, Linux et Solaris, ainsi que dans le composant authplay.dll fourni avec Adobe Reader et Acrobat v9.x pour les systèmes d'exploitation Windows, Macintosh et UNIX. Ces vulnérabilités sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné.
Adobe recommande aux utilisateurs d'Adobe Flash Player versions 9.x, 10.x et antérieures de passer à la version 9.0.246.0 ou 10.0.32.18, aux utilisateurs d'Adobe AIR versions 1.5.1 et antérieures de passer à la version 1.5.2, et aux utilisateurs d'Acrobat et d'Adobe Reader versions 9 et antérieures de passer à la version 9.1.3.
Remarque : en raison de cette mise à niveau exceptionnelle pour Acrobat et Adobe Reader, Adobe prévoit de publier la prochaine mise à niveau de sécurité trimestrielle de ces logiciels le mardi 13 octobre.
Adobe Flash Player 9.0.159.0 et 10.0.22.87 et versions 9.x et 10.x antérieures
Pour vérifier le numéro de version de Flash Player, accédez à la page À propos de Flash Player ou cliquez sur du contenu Flash avec le bouton droit de la souris, puis sélectionnez "À propos d'Adobe (ou de Macromedia) Flash Player" dans le menu. Si vous utilisez plusieurs navigateurs, effectuez cette vérification pour chacun des navigateurs installés sur le système.
Adobe AIR versions 1.5.1 et antérieures
Adobe Reader et Acrobat 9.1.2 et versions 9.x antérieures
Adobe Flash Player
Adobe recommande à tous les utilisateurs de Flash Player versions 10.0.22.87 et antérieures d'installer la dernière version (10.0.32.18), en la téléchargeant depuis le Centre de téléchargement Player, ou en utilisant la fonction de mise à niveau automatique intégrée dans le logiciel.
Pour les utilisateurs qui ne peuvent pas effectuer la mise à niveau vers Adobe Flash Player 10, Adobe a développé une version d'Adobe Flash Player 9 avec correctif, Flash Player 9.0.246.0, téléchargeable ici : http://www.adobe.com/support/flashplayer/downloads.html#fp9.
Adobe AIR
Adobe recommande à tous les utilisateurs d'Adobe AIR versions 1.5.1 et antérieures d'installer la dernière version (1.5.2), en la téléchargeant depuis le Centre de téléchargement Adobe AIR.
Adobe Reader
Les utilisateurs qui téléchargeront le programme d'installation 9.1 complet depuis le site http://get.adobe.com/reader/ recevront gratuitement, grâce à la technologie Adobe Updater, le correctif Adobe Reader 9.1.3 lors de la première utilisation du logiciel. Les utilisateurs peuvent également cliquer sur "Aide > Vérifier les mises à jour" pour vérifier que le correctif a bien été installé et que leur installation est à jour. Ils peuvent également installer la mise à niveau 9.1.3 manuellement via la section Mises à niveau de produits de notre site web.
La mise à niveau destinée aux utilisateurs d'Adobe Reader pour Windows est disponible à l'adresse suivante : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.
La mise à niveau destinée aux utilisateurs d'Adobe Reader pour Macintosh est disponible à l'adresse suivante : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.
La mise à niveau destinée aux utilisateurs d'Adobe Reader pour UNIX est disponible à l'adresse suivante : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix.
Acrobat
Les mises à niveau destinées aux utilisateurs d'Acrobat Standard et Pro pour Windows sont disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
La mise à niveau destinée aux utilisateurs d'Acrobat Pro Extended pour Windows est disponible à l'adresse suivante : http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows.
La mise à niveau destinée aux utilisateurs d'Acrobat Pro pour Macintosh est disponible à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
Adobe classe ces vulnérabilités parmi les problèmes critiques et recommande aux utilisateurs concernés de corriger leurs installations.
Des vulnérabilités critiques ont été identifiées dans les versions actuelles d'Adobe Flash Player (v9.0.159.0 et v10.0.22.87) pour les systèmes d'exploitation Windows, Macintosh, Linux et Solaris, ainsi que dans le composant authplay.dll fourni avec Adobe Reader et Acrobat v9.x pour les systèmes d'exploitation Windows, Macintosh et UNIX. Ces vulnérabilités sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné.
Adobe recommande aux utilisateurs d'Adobe Flash Player versions 9.x, 10.x et antérieures de passer à la version 9.0.246.0 ou 10.0.32.18, aux utilisateurs d'Adobe AIR versions 1.5.1 et antérieures de passer à la version 1.5.2, et aux utilisateurs d'Acrobat et d'Adobe Reader versions 9 et antérieures de passer à la version 9.1.3.
Les mises à niveau d'Adobe Flash Player, Adobe AIR, Adobe Reader et Acrobat corrigent un problème potentiel de corruption de mémoire susceptible d'entraîner l'exécution de code (CVE-2009-1862).
La mise à niveau d'Adobe Flash Player corrige la version vulnérable de l'ATL (Active Template Library) de Microsoft mentionnée dans l'Avis de sécurité Microsoft 973882. Cette vulnérabilité pourrait permettre à un pirate de prendre le contrôle du système concerné (CVE-2009-0901, CVE-2009-2495, CVE-2009-2493).
La mise à niveau d'Adobe Flash Player résout un problème potentiel de remontée d'autorisations qui pourrait permettre à un individu non autorisé d'obtenir des droits d'administrateur sur les systèmes d'exploitation Macintosh (CVE-2009-1863).
Les mises à niveau d'Adobe Flash Player et Adobe AIR corrigent un problème potentiel de dépassement de segment de mémoire susceptible d'entraîner l'exécution de code (CVE-2009-1864).
Les mises à niveau d'Adobe Flash Player et Adobe AIR corrigent un problème potentiel de pointeur nul susceptible d'entraîner l'exécution de code (CVE-2009-1865).
Les mises à niveau d'Adobe Flash Player et Adobe AIR corrigent un problème potentiel de dépassement de la pile susceptible d'entraîner l'exécution de code (CVE-2009-1866).
Les mises à niveau d'Adobe Flash Player et Adobe AIR corrigent un problème potentiel de clickjacking (détournement de clics) dont un pirate pourrait tirer parti pour amener un utilisateur à cliquer sur un lien ou une boîte de dialogue sans qu'il ne s'en rende compte (CVE-2009-1867).
Les mises à niveau d'Adobe Flash Player et Adobe AIR corrigent un potentiel dépassement de segment de mémoire dans l'analyse d'URL susceptible d'entraîner l'exécution de code (CVE-2009-1868).
Les mises à niveau d'Adobe Flash Player et Adobe AIR corrigent un potentiel dépassement de capacité pour un entier susceptible d'entraîner l'exécution de code (CVE-2009-1869).
Les mises à niveau d'Adobe Flash Player et Adobe AIR corrigent un problème potentiel de sandbox local susceptible d'entraîner la divulgation d'informations lors de l'enregistrement des fichiers SWF sur le disque dur (CVE-2009-1870).
Adobe tient à remercier les personnes et sociétés suivantes d'avoir signalé ces problèmes et de joindre leurs efforts aux nôtres pour assurer la sécurité de nos clients :
3 août 2009 - Actualisation du bulletin de sécurité avec des informations relatives à la mise à disposition de la mise à niveau Adobe Flash Player v9 et v10 pour Solaris
31 juillet 2009 - Actualisation du bulletin de sécurité avec des informations relatives à la mise à disposition des mises à niveau Adobe Reader et Acrobat, et avec la correction du lien de téléchargement Adobe Flash Player 9
30 juillet 2009 - Création du premier bulletin de sécurité
