Risques
- Exécution de commandes arbitraires via un fichier swf malicieux
- Exécution de commandes arbitraires via un site web malicieux
Systèmes affectés
Macromedia Flash Player version 7.0.19.0 et versions inférieures.
Description
Une vulnérabilité a été découverte dans la gestion des variables des fichiers SWF du logiciel Macromedia Flash Player.
Cette vulnérabilité peut être exploitée afin d'exécuter du code arbitraire via un site web ou un fichier SWF malicieusement construit.
Solution
Deux solutions peuvent être envisagées :
- Utiliser Flash player 8 (version 8.0.22.0) ;
- mettre à jour Flash Player 7 en version 7.0.61.0 ou 7.0.60.0.
Documentation
- Bulletin de sécurité Eeye du 04 novembre 2005 : http://www.eeye.com/html/research/advisories/AD20051104.html
- Bulletin de sécurité Gentoo GLSA 200511-21 du 25 novembre 2005 : http://www.gentoo.org/security/en/glsa/glsa-200511-21.xml
- Bulletin de sécurité de l'éditeur : http://www.macromedia.com/devnet/security/security_zone/mpsb05-07.html
- Mises à jour de sécurité FreeBSD pour linux-flashplugin6 et linux-flashplugin7 du 13 novembre 2005 : http://www.vuxml.org/freebsd/pkg-linux-flashplugin6.html
- Mises à jour de sécurité FreeBSD pour linux-flashplugin6 et linux-flashplugin7 du 13 novembre 2005 : http://www.vuxml.org/freebsd/pkg-linux-flashplugin7.html
- Site de l'éditeur : http://www.macromedia.com