Objet: Vulnérabilités dans Adobe Flash Player

Risque

• Exécution de code arbitraire à distance ;
• attaques de type cross-site request forgery.

Systèmes affectés

• Adobe Flash Player versions 9.0.45.0 et antérieures ;
• Adobe Flash Player versions 8.0.34.0 et antérieures ;
• Adobe Flash Player versions 7.0.69.0 et antérieures.

Résumé

Plusieurs vulnérabilités affectant Adobe Flash Player permettent, entre autres, l'exécution de code arbitraire à distance.

Description

Plusieurs vulnérabilités ont été découvertes dans différentes versions de Adobe Flash Player :

• une mauvaise validation des données par Adobe Flash Player (versions 9.0.45.0 et antérieures) permet, par le biais d'un fichier au format SWF spécifiquement constitué, l'exécution de code arbitraire à distance (référence CVE-2007-3456) ;
• une mauvaise validation du paramètre HTTP referer par Adobe Flash Player (versions 8.0.34.0 et antérieures, la version 9 n'est pas affectée) permet de réaliser des attaques de type cross-site request forgery (référence CVE-2007-3457) ;
• des mises à jour pour les versions Linux et Solaris d'Adobe Flash Player version 7 corrigent des vulnérabilités décrites dans le bulletin de sécurité Adobe APSA07-03 (référence CVE-2007-2022).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Adobe APSB07-12 du 10 juillet 2007 :

  http://www.adobe.com/support/security/bulletins/apsb07-12.html
  

• Bulletin de sécurité Adobe APSA07-03 du 11 avril 2007 :

  http://www.adobe.com/support/security/advisories/apsa07-03.html
  

• Référence CVE CVE-2007-3456 :

  https://www.cve.org/CVERecord?id=CVE-2007-3456
  

• Référence CVE CVE-2007-3457 :

  https://www.cve.org/CVERecord?id=CVE-2007-3457
  

• Référence CVE CVE-2007-2022 :

  https://www.cve.org/CVERecord?id=CVE-2007-2022