S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 07 novembre 2005
N° CERTA-2005-AVI-438-002
Affaire suivie par: CERT-FR
le 07 novembre 2005

Avis du CERT-FR

Objet: Vulnérabilité du logiciel Macromedia Flash Player

Gestion du document

Référence CERTA-2005-AVI-438-002
Titre Vulnérabilité du logiciel Macromedia Flash Player
Date de la première version 07 novembre 2005
Date de la dernière version 28 novembre 2005
Source(s) Bulletin de sécurité de Macromedia
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de commandes arbitraires via un site web malicieux ;
  • exécution de commandes arbitraires via un fichier SWF malicieux.

Systèmes affectés

Macromedia Flash Player version 7.0.19.0 et versions inférieures.

Description

Une vulnérabilité a été découverte dans la gestion des variables des fichiers SWF du logiciel Macromedia Flash Player.

Cette vulnérabilité peut être exploitée afin d'exécuter du code arbitraire via un site web ou un fichier SWF malicieusement construit.

Solution

Deux solutions peuvent être envisagées :

  • Utiliser Flash player 8 (version 8.0.22.0) ;
  • mettre à jour Flash Player 7 en version 7.0.61.0 ou 7.0.60.0.

Documentation

Gestion détaillée du document

    le 07 novembre 2005
    version initiale.
    le 21 novembre 2005
    ajout de la référence au bulletin de sécurité Eeye et des mises à jour de sécurité FreeBSD.
    le 28 novembre 2005
    ajout de la référence au bulletin de sécurité Gentoo GLSA 200511-21 et de la réference CVE CAN-2005-2628.