[PATCH][ADOBE] Prise de contrôle d’un système à distance via 24 vulnérabilités au sein de Adobe Flash Player (APSB16-10)

[PATCH][ADOBE] Prise de contrôle d’un système à distance via 24 vulnérabilités au sein de Adobe Flash Player (APSB16-10)

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur le correctif de sécurité publié par Adobe en fin de semaine.


Description :

Vingt-quatre vulnérabilités ont été corrigées au sein d’Adobe Flash Player. Leur exploitation permettait à un attaquant de contourner certaines mesures de sécurité, voire de prendre le contrôle du système à distance.

Les failles de sécurités CVE-2016-1006 et CVE-2016-1030 provenaient d’erreurs permettant de contourner certaines restrictions de sécurité, telles que l’ASLR.

La vulnérabilité référencée CVE-2016-1014 était due à une erreur dans les chemins de recherche des ressources. Son exploitation permettait d’accéder au système.

Les failles de sécurité référencées CVE-2016-1015 et CVE-2016-1019 provenaient d’erreurs non spécifiées pouvant mener à des confusions de types. Leur exploitation pouvait mener à la compromission du système.

Enfin, les vulnérabilités référencées CVE-2016-1011, CVE-2016-1012, CVE-2016-1013, CVE-2016-1016, CVE-2016-1017, CVE-2016-1018 , CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1031 , CVE-2016-1032 et CVE-2016-1033 provenaient d’erreurs non spécifiées liées à la gestion de la mémoire (corruption de la mémoire, « use-after-free », dépassement de tampon sur le tas). Leur exploitation pouvait également mener à la compromission du système.

En incitant un internaute à ouvrir un site internet spécialement conçu, un pirate était en mesure de prendre le contrôle du système à distance.

Note : La vulnérabilité référencée CVE-2016-1019 serait déjà exploitée (APSA16-01, voir CXA-2016-1048).


Vulnérable(s) :

  • Adobe Flash Player Desktop Runtime < 21.0.0.213 (Windows, Mac OS)
  • Adobe Flash Player Extended Support Release < 18.0.0.343 (Windows, Mac OS)
  • Adobe Flash Player pour Google Chrome < 21.0.0.213 (Windows, Mac OS, Linux et ChromeOS)
  • Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 < 21.0.0.213 (Windows 10)
  • Adobe Flash Player pour Internet Explorer 11 < 21.0.0.213 (Windows 8.1)
  • Adobe Flash Player pour Linux < 11.2.202.616 (Linux)

Non vulnérable(s) :

  • Adobe Flash Player Desktop Runtime = 21.0.0.213 (Windows, Mac OS)
  • Adobe Flash Player Extended Support Release= 18.0.0.343 (Windows, Mac OS)
  • Adobe Flash Player pour Google Chrome = 21.0.0.213 (Windows, Mac OS, Linux et ChromeOS)
  • Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 = 21.0.0.213 (Windows 10)
  • Adobe Flash Player pour Internet Explorer 11 = 21.0.0.213 (Windows 8.1)
  • Adobe Flash Player pour Linux = 11.2.202.616 (Linux)

Recommandation :

Le CERT-XMCO recommande l’installation de la dernière version du logiciel disponible sur le site de l’éditeur aux adresses suivantes :

Par ailleurs, les utilisateurs d’Adobe Flash peuvent utiliser simplement le mécanisme de mise à jour automatique. Ce mécanisme permet de vérifier régulièrement et automatiquement la disponibilité de nouvelles versions, voire d’installer les mises à jour disponibles sans intervention de la part de l’utilisateur.

Référence(s) :

Référence(s) CVE :

Référence CERT-XMCO :
CXA-2016-1087


Adrien Guinault