Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Breeze Meeting Add-In version 5.1 et versions antérieures.
- Flash Debug Player version 7.0.14.0 et versions antérieures ;
- Flash Player version 8.0.22.0 et versions antérieures ;
- Shockwave Player version 10.1.0.11 et versions antérieures ;
Résumé
Plusieurs vulnérabilités dans la lecture des fichiers de type flash permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités critiques ont été identifiées dans les lecteurs flash permettant à un utilisateur mal intentionné de compromettre un système vulnérable au moyen d'un fichier SWF malicieusement constitué.
Contournement provisoire
- Ne consulter que des sites Internet sans flash ou jugés de confiance ;
- de manière générale, n'ouvrir que des fichiers SWF jugés de confiance ;
- désinstaller flash en attendant d'installer la version corrigées puis redémarrer le naviguateur.
Il n'existe pas de méthode fiable pour désactiver temporairement le flash.
Solution
- Mettre à jour Flash Player en version 7.0.63.0 ou en version 8.0.24.0 ;
- mettre à jour Shockwave Player en version 10.1.1 ;
- mettre à jour Breeze Meeting Add-In en version 7.0.55.331 (Windows) ou version 7.0.55.118 (Macintosh) ;
Dans tous les cas, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Secunia SA19218 du 15 mars 2006 http://secunia.com/advisories/19218/
- Bulletin de sécurité Adobe Systems (Macromedia) APSB06-03 du 14 mars 2006 : http://www.macromedia.com/devnet/security/security_zone/apsb06-03.html
- Bulletin de sécurité FreeBSD pour linux-flashplugin du 15 mars 2006 : http://www.vuxml.org/freebsd/pkg-linux-flashplugin.html
- Bulletin de sécurité Gentoo GLSA 200603-20 du 21 mars 2006 : http://www.gentoo.org/security/en/glsa/glsa-200603-20.xml
- Bulletin de sécurité Microsoft (916208) du 14 mars 2006 : http://www.microsoft.com/technet/security/advisory/916208.mspx
- Bulletin de sécurité RedHat RHSA-2006:0268 du 15 mars 2006 : http://rhn.redhat.com/errata/RHSA-2006-0268.html
- Bulletin de sécurité SUSE SUSE-SA:2006:015 du 21 mars 2006 : http://www.novell.com/linux/security/advisories/2006_15_flashplayer.html
- Référence CVE CVE-2006-0024 https://www.cve.org/CVERecord?id=CVE-2006-0024