Risques
- Exécution de code arbitraire à distance
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- Adobe Flash Player versions 7.0.69.0 et antérieures.
- Adobe Flash Player versions 8.0.34.0 et antérieures ;
- Adobe Flash Player versions 9.0.45.0 et antérieures ;
Résumé
Plusieurs vulnérabilités affectant Adobe Flash Player permettent, entre autres, l'exécution de code arbitraire à distance.
Description
Plusieurs vulnérabilités ont été découvertes dans différentes versions de Adobe Flash Player :
- une mauvaise validation des données par Adobe Flash Player (versions 9.0.45.0 et antérieures) permet, par le biais d'un fichier au format SWF spécifiquement constitué, l'exécution de code arbitraire à distance (référence CVE-2007-3456) ;
- une mauvaise validation du paramètre HTTP referer par Adobe Flash Player (versions 8.0.34.0 et antérieures, la version 9 n'est pas affectée) permet de réaliser des attaques de type cross-site request forgery (référence CVE-2007-3457) ;
- des mises à jour pour les versions Linux et Solaris d'Adobe Flash Player version 7 corrigent des vulnérabilités décrites dans le bulletin de sécurité Adobe APSA07-03 (référence CVE-2007-2022).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe APSA07-03 du 11 avril 2007 : http://www.adobe.com/support/security/advisories/apsa07-03.html
- Bulletin de sécurité Adobe APSB07-12 du 10 juillet 2007 : http://www.adobe.com/support/security/bulletins/apsb07-12.html
- Référence CVE CVE-2007-2022 https://www.cve.org/CVERecord?id=CVE-2007-2022
- Référence CVE CVE-2007-3456 https://www.cve.org/CVERecord?id=CVE-2007-3456
- Référence CVE CVE-2007-3457 https://www.cve.org/CVERecord?id=CVE-2007-3457