Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- Adobe Flash Player Desktop Runtime versions 28.0.0.137 et antérieures sur Windows et Macintosh
- Adobe Flash Player pour Google Chrome versions 28.0.0.137 et antérieures sur Windows, Macintosh, Linux et Chrome OS
- Adobe Flash Player for Microsoft Edge et Internet Explorer 11 versions 28.0.0.137 et antérieures sur Windows 10 et 8.1
- Adobe Flash Player Desktop Runtime versions 28.0.0.137 et antérieures sur Linux
Résumé
Le 01 février 2018, Adobe a publié un avis de sécurité concernant une vulnérabilité de type 0-jour affectant Flash Player.
Cette vulnérabilité, portant l'identifiant CVE-2018-4878, permet une exécution de code arbitraire à distance.
Adobe indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées.
Le vecteur de distribution constaté jusqu'à présent est un courriel d'hameçonnage ciblé avec un fichier Office contenant la charge malveillante.
Toutefois, l'exploitation de cette vulnérabilité dans le contexte d'un navigateur est possible dès lors qu'un greffon Flash Player est activé.
Contournement provisoire
Dans l'attente des correctifs prévus pour la semaine du 5 février 2018, le CERT-FR recommande :
- de s'assurer que le mode protégé d'Office est bien activé car il empêche l'exécution automatique, entre autres, de Flash pour les documents téléchargés sur internet (cf. section Documentation) ;
- que les utilisateurs respectent le guide des bonnes pratiques de l'informatique de l'ANSSI (cf. section Documentation) ;
- de désactiver, voire de désinstaller les greffons Flash Player ; à ce titre, des conseils sont disponibles dans le bulletin d'actualité CERTFR-2016-ACT-052 (cf. section Documentation).
Solution
Le 6 février 2018, Adobe a publié un bulletin annonçant un correctif pour les systèmes affectés par les vulnérabilités CVE-2018-4878 et CVE-2018-4877.
À la même date, Microsoft annonce l'intégration de ce correctif pour ses systèmes Windows utilisant Adobe Flash Player dans un bulletin de sécurité hors de son cycle de mises à jour mensuelles (cf. section Documentation).
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe apsa18-01 du 01 février 2018
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html - Bulletin de sécurité Adobe apsa18-03 du 06 février 2018
https://helpx.adobe.com/security/products/flash-player/apsa18-03.html - Avis CERT-FR CERTFR-2018-AVI-071 Multiples vulnérabilité dans Adobe Flash Player
https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-071 - Avis CERT-FR CERTFR-2018-AVI-072 Multiples vulnérabilités dans les produits Microsoft Windows utilisant le composant Adobe Flash Player
https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-072 - Guide des bonnes pratiques de l'informatique
https://www.ssi.gouv.fr/particulier/guide/guide-des-bonnes-pratiques-de-linformatique/ - Bulletin d'actualité CERT-FR CERTFR-2016-ACT-052
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2016-ACT-052/ - Office mode protégé
https://support.office.com/fr-fr/article/qu-est-ce-que-le-mode-prot%c3%a9g%c3%a9-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653?ui=fr-FR&rs=fr-FR&ad=FR#bm5 - Référence CVE CVE-2018-4878
https://www.cve.org/CVERecord?id=CVE-2018-4878
