1. Accueil
2. Support
3. Avis de sécurité

Bulletin de sécurité

Mise à disposition de mises à niveau de sécurité pour Adobe Flash Player

Date de publication : 26 février 2013

Identifiant de vulnérabilité : APSB13-08

Priorité : voir le tableau ci-dessous

Références CVE : CVE-2013-0504, CVE-2013-0643, CVE-2013-0648

Plate-forme : Toutes plates-formes

Synthèse

Adobe a publié des mises à niveau de sécurité pour Adobe Flash Player versions 11.6.602.168 et antérieures pour Windows, Adobe Flash Player versions 11.6.602.167 et antérieures pour Macintosh et Adobe Flash Player versions 11.2.202.270 et antérieures pour Linux. Ces mises à niveau corrigent des vulnérabilités susceptibles de provoquer un dysfonctionnement de l'application et de permettre à un pirate de prendre le contrôle du système concerné.

Il est avéré que des pirates ont réussi à tirer parti de ces vulnérabilités, par le biais d'attaques ciblées destinées à tromper l'utilisateur et à l'amener à cliquer sur un lien renvoyant à un site hébergeant du contenu Flash (SWF) malveillant. L'exploitation des vulnérabilités CVE-2013-0643 et CVE-2013-0648 cible le navigateur Firefox.

Adobe recommande aux utilisateurs de mettre à niveau leurs installations vers la dernière version :

• Les utilisateurs d'Adobe Flash Player versions 11.6.602.168 et antérieures pour Windows et d'Adobe Flash Player versions 11.6.602.167 et antérieures pour Macintosh doivent effectuer la mise à niveau vers Adobe Flash Player 11.6.602.171.
• Les utilisateurs d'Adobe Flash Player versions 11.2.202.270 et antérieures pour Linux doivent effectuer la mise à niveau vers Adobe Flash Player 11.2.202.273.
• Les installations d'Adobe Flash Player via Google Chrome seront automatiquement mises à niveau vers la dernière version de Google Chrome, qui inclut Adobe Flash Player 11.6.602.171 pour Windows, Macintosh et Linux.
• Les installations d'Adobe Flash Player via Internet Explorer 10 pour Windows 8 seront automatiquement mises à niveau vers la dernière version d'Internet Explorer 10, qui inclut Adobe Flash Player 11.6.602.171 pour Windows.

Versions logicielles concernées

• Adobe Flash Player versions 11.6.602.168 et antérieures pour Windows
• Adobe Flash Player versions 11.6.602.167 et antérieures pour Macintosh
• Adobe Flash Player versions 11.2.202.270 et antérieures pour Linux

Pour vérifier le numéro de version d'Adobe Flash Player installé sur votre système, accédez à la page À propos de Flash Player ou cliquez avec le bouton droit de la souris sur du contenu exécuté dans Flash Player et sélectionnez À propos d'Adobe (ou de Macromedia) Flash Player dans le menu contextuel. Effectuez cette vérification pour tous les navigateurs utilisés sur votre système.

Solution

Adobe recommande aux utilisateurs d'effectuer la mise à niveau de leurs installations en procédant comme suit :

• Adobe recommande aux utilisateurs d'Adobe Flash Player versions 11.6.602.168 et antérieures pour Windows et d'Adobe Flash Player versions 11.6.602.167 et antérieures pour Macintosh d'installer la version 11.6.602.171 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player. Les utilisateurs de Flash Player versions 11.2.x et ultérieures pour Windows et les utilisateurs de Flash Player 11.3.x et ultérieures pour Macintosh qui ont sélectionné l'option autorisant Adobe à installer les mises à niveau recevront automatiquement la mise à niveau. Les utilisateurs qui n'ont pas activé l'option de mise à niveau automatique pourront installer la mise à niveau par le mécanisme de mise à niveau automatique du produit, lorsqu'ils y seront invités.
• Pour les utilisateurs de Flash Player versions 10.3.183.63 et antérieures pour Windows et de Flash Player versions 10.3.183.61 et antérieures pour Macintosh qui ne peuvent pas effectuer la mise à niveau vers Flash Player 11.6.602.171, Adobe met à disposition la mise à niveau Flash Player 10.3.183.67, téléchargeable ici.
• Adobe recommande aux utilisateurs d'Adobe Flash Player versions 11.2.202.270 et antérieures pour Linux d'installer la version 11.2.202.273 en la téléchargeant depuis le Centre de téléchargement Adobe Flash Player.
• Pour les utilisateurs de Flash Player versions 10.3.183.61 et antérieures pour Linux qui ne peuvent pas effectuer la mise à niveau vers Flash Player 11.2.202.273, Adobe met à disposition la mise à niveau Flash Player 10.3.183.67, téléchargeable ici.
• Les installations d'Adobe Flash Player via Google Chrome seront automatiquement mises à niveau vers la dernière version de Google Chrome, qui inclut Adobe Flash Player 11.6.602.171 pour Windows, Macintosh et Linux.
• Les installations d'Adobe Flash Player via Internet Explorer 10 pour Windows 8 seront automatiquement mises à niveau vers la dernière version d'Internet Explorer 10, qui inclut Adobe Flash Player 11.6.602.171 pour Windows.

Priorité et degré de gravité

Adobe attribue à ces mises à niveau les priorités ci-après et recommande aux utilisateurs concernés de mettre à niveau leurs installations avec les dernières versions des logiciels :

Produit	Mise à niveau	Plate-forme	Priorité
Adobe Flash Player	11.6.602.171	Windows et Macintosh	1
	11.2.202.273	Linux	3

Ces mises à niveau corrigent des vulnérabilités critiques du logiciel.

Détails

Adobe a publié des mises à niveau de sécurité pour Adobe Flash Player versions 11.6.602.168 et antérieures pour Windows, Adobe Flash Player versions 11.6.602.167 et antérieures pour Macintosh et Adobe Flash Player versions 11.2.202.270 et antérieures pour Linux.  Ces mises à niveau corrigent des vulnérabilités susceptibles de provoquer un dysfonctionnement de l'application et de permettre à un pirate de prendre le contrôle du système concerné.

Il est avéré que des pirates ont réussi à tirer parti de ces vulnérabilités, par le biais d'attaques ciblées destinées à tromper l'utilisateur et à l'amener à cliquer sur un lien renvoyant à un site hébergeant du contenu Flash (SWF) malveillant.  L'exploitation des vulnérabilités CVE-2013-0643 et CVE-2013-0648 cible le navigateur Firefox. 

Adobe recommande aux utilisateurs de mettre à niveau leurs installations vers la dernière version :

• Les utilisateurs d'Adobe Flash Player versions 11.6.602.168 et antérieures pour Windows et d'Adobe Flash Player versions 11.6.602.167 et antérieures pour Macintosh doivent effectuer la mise à niveau vers Adobe Flash Player 11.6.602.171.
• Les utilisateurs d'Adobe Flash Player versions 11.2.202.270 et antérieures pour Linux doivent effectuer la mise à niveau vers Adobe Flash Player 11.2.202.273.
• Les installations de Flash Player effectuées avec Google Chrome seront automatiquement mises à niveau vers la dernière version de Google Chrome, qui inclut Adobe Flash Player 11.6.602.171 pour Windows, Macintosh et Linux.
• Les installations de Flash Player effectuées avec Internet Explorer 10 pour Windows 8 seront automatiquement mises à niveau vers la dernière version d'Internet Explorer 10, qui inclut Adobe Flash Player 11.6.602.171 pour Windows.

Cette mise à niveau corrige un problème d'autorisations avec la sandbox Flash Player pour Firefox (CVE-2013-0643).

Cette mise à niveau corrige une vulnérabilité de la fonction ActionScript ExternalInterface, qui pourrait être exploitée pour exécuter du code malveillant (CVE-2013-0648).

Cette mise à niveau corrige une vulnérabilité de type débordement de mémoire tampon dans un composant Service Broker, qui pourrait être exploitée pour exécuter du code malveillant (CVE-2013-0504).

Logiciels concernés	Mise à niveau recommandée	Disponibilité
Flash Player versions 11.6.602.168 et antérieures pour Windows	11.6.602.171	Centre de téléchargement Flash Player
Flash Player versions 11.6.602.167 et antérieures pour Macintosh	11.6.602.171	Centre de téléchargement Flash Player
Flash Player versions 11.6.602.168 et antérieures pour Windows - distribution en réseau	11.6.602.171	Distribution d'Adobe Flash Player
Flash Player versions 11.6.602.167 et antérieures pour Macintosh- distribution en réseau	11.6.602.171	Distribution d'Adobe Flash Player
Flash Player versions 11.2.202.270 et antérieures pour Linux	11.2.202.273	Centre de téléchargement Flash Player
Flash Player versions 11.6.602.167 et antérieures pour Chrome (Windows, Macintosh et Linux)	11.6.602.171	Versions Google Chrome
Flash Player versions 11.6.602.167 et antérieures installées avec Internet Explorer 10 pour Windows 8	11.6.602.171	Avis de sécurité Microsoft

Remerciements

Adobe tient à remercier Mark Yason IBM X-Force (CVE-2013-0504) d'avoir signalé ce problème et joint ses efforts à ceux d'Adobe pour assurer la sécurité des clients.