Page 1 sur 1

Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 11 Juil 2015, 18:47
de pierre
Alerte !

Vulnérabilité dans Adobe Flash Player (11 juillet 2015)
Il s'agit d'une nouvelle vulnérabilité , autre que celle du 08 juillet 2015
Même la version 18.0.0.203 corrigeant la faille du 08 juillet 2015 est vulnérable


Lire :
Cryptoware
Alerte Multiples vulnérabilités Adobe Flash Player (08.07.2015)
Quelle est ma version de Flash Player et mise à jour de Flash Player

Date initiale de l'alerte
11 juillet 2015

Source
Bulletin de sécurité Adobe APSA15-04 du 10 juillet 2015

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
Adobe Flash Player 18.0.0.203 et versions antérieures pour Windows et Macintosh
Adobe Flash Player 18.0.0.204 et versions antérieures pour Linux installées avec Google Chrome
Adobe Flash Extended Support Release 13.0.0.302 et les versions 13.x antérieures pour Windows et Macintosh
Adobe Flash Player Extended Support Release 11.2.202.481 et les versions 11.x antérieures pour Linux

3 - Résumé
Suite à l'exfiltration des données provenant de l'entreprise italienne Hacking Team, une seconde vulnérabilité de type 0-day dans Adobe Flash Player a été découverte.

Cette vulnérabilité est critique et peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance.

De façon similaire à la vulnérabilité couverte par l'alerte CERTFR-2015-ALE-005, cette nouvelle vulnérabilité risque d'être rapidement intégrée dans différents kits d'exploitations et d'être utilisée dans le cadre d'attaques.

4 - Contournement provisoire
Adobe prévoit de fournir un correctif pour cette vulnérabilité dans la semaine du 12 juillet 2015.

Dans l'attente de la disponibilité de celui-ci, désactiver les greffons Flash Player.

5 - Documentation
Bulletin de sécurité Adobe du 10 juillet 2015
https://helpx.adobe.com/security/produc ... 15-04.html

CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak
https://www.fireeye.com/blog/threat-res ... _seco.html

Référence CVE CVE-2015-5122
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-5122

Re: Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 12 Juil 2015, 09:15
de Tourix
Bonjour pierre, c'est très bien l'annonce au premier plan sur assiste.com

Merci, bon dimanche

Re: Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 12 Juil 2015, 16:32
de pierre
Bonjour Tourix,

Je travaille sur un mécanisme qui affichera les alertes alarmantes sur la dizaine de pages les plus visitées.

Cordialement

Re: Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 14 Juil 2015, 14:19
de pierre
La Version 18.0.0.209 est disponible en téléchargement

Quelle est ma version de Flash Player et mise à jour de Flash Player

Re: Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 15 Juil 2015, 22:52
de pierre

Re: Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 21 Juil 2015, 10:05
de pierre
Cloture de l'alerte Flash du 11 juillet

Vulnérabilité dans Adobe Flash Player

Version initiale de l'alerte
11 juillet 2015

Mise à jour de l'alerte
20 juillet 2015

Vérifiez que vous êtes bien en version 18.0.0.209 (Windows and Macintosh) (Flash Player Download Center - Flash Player Distribution)
Les versions ESR doivent être en 13.0.0.309 (Windows and Macintosh) (Extended Support)
Les versions Google Chrome doivent être en 18.0.0.209 (Windows, Macintosh and Linux) (Google Chrome Releases)
Les versions IE 10 et IE 11 (en technologie ActiveX) doivent être en 18.0.0.209 (Windows) (Microsoft Security Advisory)
Les versions Linux doivent être en 11.2.202.491 (Flash Player Download Center)

Sources
Bulletin de sécurité Adobe APSA15-04 du 10 juillet 2015
Bulletin de sécurité Adobe APSB15-18 du 14 juillet 2015

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
Adobe Flash Player 18.0.0.203 et versions antérieures pour Windows et Macintosh
Adobe Flash Player 18.0.0.204 et versions antérieures pour Linux installées avec Google Chrome
Adobe Flash Extended Support Release 13.0.0.302 et les versions 13.x antérieures pour Windows et Macintosh
Adobe Flash Player Extended Support Release 11.2.202.481 et les versions 11.x antérieures pour Linux

3 - Résumé
Suite à l'exfiltration des données provenant de l'entreprise italienne Hacking Team, une seconde vulnérabilité de type 0-day dans Adobe Flash Player a été découverte, suivie d'une troisième plus récemment.

Ces vulnérabilités sont critiques et peuvent permettre à un attaquant de provoquer une exécution de code arbitraire à distance.

De façon similaire à la vulnérabilité couverte par l'alerte CERTFR-2015-ALE-005, ces nouvelles vulnérabilités risquent d'être rapidement intégrées dans différents kits d'exploitations et d'être utilisées dans le cadre d'attaques.

4 - Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 - Documentation
Bulletin de sécurité Adobe du 10 juillet 2015
https://helpx.adobe.com/security/produc ... 15-04.html

Bulletin de sécurité Adobe du 14 juillet 2015
https://helpx.adobe.com/security/produc ... 15-18.html

CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak
https://www.fireeye.com/blog/threat-res ... _seco.html

Référence CVE CVE-2015-5123
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-5123

Référence CVE CVE-2015-5122
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-5122

Re: Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 22 Juil 2015, 09:38
de piratebab
Une idée d'amélioration du site: dans la page de flashplayer, lorsque on cherche la version installée, ce serait bien de savoir si c'est la dernière ou pas.
http://assiste.com/Sommes_nous_espionne ... Flash.html

Re: Vulnérabilité dans Adobe Flash Player (11 juillet 2015)

MessagePosté: 22 Juil 2015, 11:34
de pierre
Bonjour Piratebab,

Bonne idée. Fait. Merci.

D'autre part, cette information persistera après suppression des alertes. Elle pourrait d'ailleurs être reprise en d'autres endroits stratégiques.

Sommes-nous espionnés - Quelle est votre version de Flash

Cordialement