Risques

  • Exécution de code arbitraire à distance
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • Adobe Flash Player versions 7.0.69.0 et antérieures.
  • Adobe Flash Player versions 8.0.34.0 et antérieures ;
  • Adobe Flash Player versions 9.0.45.0 et antérieures ;

Résumé

Plusieurs vulnérabilités affectant Adobe Flash Player permettent, entre autres, l'exécution de code arbitraire à distance.

Description

Plusieurs vulnérabilités ont été découvertes dans différentes versions de Adobe Flash Player :

  • une mauvaise validation des données par Adobe Flash Player (versions 9.0.45.0 et antérieures) permet, par le biais d'un fichier au format SWF spécifiquement constitué, l'exécution de code arbitraire à distance (référence CVE-2007-3456) ;
  • une mauvaise validation du paramètre HTTP referer par Adobe Flash Player (versions 8.0.34.0 et antérieures, la version 9 n'est pas affectée) permet de réaliser des attaques de type cross-site request forgery (référence CVE-2007-3457) ;
  • des mises à jour pour les versions Linux et Solaris d'Adobe Flash Player version 7 corrigent des vulnérabilités décrites dans le bulletin de sécurité Adobe APSA07-03 (référence CVE-2007-2022).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation