Multiples vulnérabilités dans Adobe Flash (29 décembre 2015)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Multiples vulnérabilités dans Adobe Flash (29 décembre 2015)

Messagede pierre » 31 Déc 2015, 19:53

Multiples vulnérabilités dans Adobe Flash (corrigées le 29 décembre 2015)

Version initiale de l'avis
29 décembre 2015

Source
Bulletin de sécurité Adobe APSB16-01 du 29 décembre 2015
https://helpx.adobe.com/security/produc ... 16-01.html

1 - Risque(s)
exécution de code arbitraire

2 - Systèmes affectés
Adobe Flash Player 18.0.0.268 et versions antérieures pour Windows et Macintosh
Adobe Flash Player 20.0.0.228 et versions antérieures pour Microsoft Edge et Internet Explorer 11
Adobe Flash Player 11.2.202.554 et versions antérieures pour Linux

3 - Résumé
De multiples vulnérabilités ont été corrigées dans Adobe Flash. Elles permettent à un attaquant de provoquer une exécution de code arbitraire.

4 - Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 - Documentation
Bulletin de sécurité Adobe APSB16-01 du 29 décembre 2015
https://helpx.adobe.com/security/produc ... 16-01.html

Référence CVE CVE-2015-8459
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8459

Référence CVE CVE-2015-8460
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8460

Référence CVE CVE-2015-8634
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8634

Référence CVE CVE-2015-8635
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8635

Référence CVE CVE-2015-8636
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8636

Référence CVE CVE-2015-8638
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8638

Référence CVE CVE-2015-8639
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8639

Référence CVE CVE-2015-8640
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8640

Référence CVE CVE-2015-8641
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8641

Référence CVE CVE-2015-8642
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8642

Référence CVE CVE-2015-8643
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8643

Référence CVE CVE-2015-8644
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8644

Référence CVE CVE-2015-8645
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8645

Référence CVE CVE-2015-8646
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8646

Référence CVE CVE-2015-8647
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8647

Référence CVE CVE-2015-8648
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8648

Référence CVE CVE-2015-8649
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8649

Référence CVE CVE-2015-8650
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8650

Référence CVE CVE-2015-8651
http://cve.mitre.org/cgi-bin/cvename.cg ... -2015-8651
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25313
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Multiples vulnérabilités dans Adobe Flash (29 décembre 2

Messagede pierre » 04 Jan 2016, 13:30

Bonjour,

La version ActiveX pour Internet Explorer de ce correctif, publiée le 31 décembre 2015, sous la référence KB3132372 :

Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 et Windows 10. La mise à jour est également disponible pour Adobe Flash Player dans Microsoft Edge sur toutes les éditions prises en charge de Windows 10. Cette mise à jour corrige les vulnérabilités dans Adobe Flash Player en mettant à jour les bibliothèques Adobe Flash concernées contenues dans Internet Explorer 10, Internet Explorer 11 et Microsoft Edge.

Le correctif est critique et concerne des failles de sécurité. Il est criminel de conseiller de désinstaller ce correctif ! A un moment où l’on voit des attaques mondiales de ransomwares de type cryptowares, ce genre de conseil devrait être immédiatement supprimé par la modération.
D’autre part, ce correctif, qui ne concerne qu’Internet Explorer et les applications utilisant la version ActiveX de Flash, permet, grâce à son bug, d’identifier les applications utilisant la technologie scélérate ActiveX.

Microsoft : https://support.microsoft.com/en-us/kb/3132372 (version française https://support.microsoft.com/fr-fr/kb/3132372 )

Known issues in this security update

______________________________________________

Solutions de contournement

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui pourrait contribuer au blocage des vecteurs d'attaque connus avant l'application de la mise à jour.

Empêcher Adobe Flash Player de s'exécuter

Vous pouvez empêcher les tentatives d'exécution d'Adobe Flash Player dans Internet Explorer et d'autres applications qui respectent le dispositif de bit d'arrêt, telles qu'Office 2007 et Office 2010, en définissant le bit d'arrêt relatif à ce contrôle dans le Registre.

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir qu'il soit possible de résoudre des problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour définir le bit d'arrêt pour le contrôle dans le Registre, procédez comme suit :
Collez le texte suivant dans un fichier texte et enregistrez-le avec l'extension de fichier .reg.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
"Compatibility Flags"=dword:00000400

Double-cliquez sur le fichier .reg pour l'appliquer à un système individuel.

Vous pouvez également l'appliquer dans plusieurs domaines à l'aide de la Stratégie de groupe. Pour plus d'informations sur la stratégie de groupe, consultez l'article TechNet Collection Stratégie de groupe.

Remarque Notez que vous devez redémarrer Internet Explorer pour que les modifications soient prises en compte.

Impact de cette solution de contournement. Aucun impact, tant que l'objet n'a pas été conçu pour être utilisé dans Internet Explorer

Procédure d'annulation de cette solution de contournement. Supprimez les clés de Registre ajoutées auparavant pour implémenter cette solution de contournement.


We are aware of limited application crashes that occur after this security update is installed on Windows 10.

Microsoft is researching this problem with Adobe and will post more information in this article when the information becomes available.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25313
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Multiples vulnérabilités dans Adobe Flash (29 décembre 2

Messagede pierre » 06 Jan 2016, 12:26

Correctif du correctif
Pour utilisateurs explicites ou implicites de la version de Flash Player embarquée dans Internet Explorer sous forme de contrôles ActiveX (dont les utilisateurs du spyware (logiciel espion) IncrediMail)

Faire un Windows Update.
Supprimer le contournement de la KB3133431 (appliquer la KB3133431 mise à jour)

Flash passe en version 20.0.0.270 pour Windows XP à Windows 7
Flash passe en version 20.0.0.272 pour Windows 10
Flash passera en version 20.0.0.272 dans quelques jours (12 janvier 2016 soit le Patch Tuesday normal) pour Windows 8 / 8.1

Updates

January 2, 2016 -

Adobe made available Flash Player ActiveX 20.0.0.270 for Windows XP through Windows 7. This update was pushed out automatically via our auto update system and most customers should have received the update by January 3rd. The update was also made available for manual install from https://get.adobe.com/flashplayer



January 5, 2016 -

Microsoft has updated Flash Player 20.0.0.272 ActiveX for Windows 10. This update, KB3133431, has been made available to Windows 10 users via the Windows Update mechanism.


January 5, 2016 (#2)

I've heard from Microsoft that Flash Player 20.0.0.272 for Windows 8.x systems will be updated on January 12th. This coincides with Microsoft's scheduled "patch Tuesday" updates.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25313
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 11 invités