Avis du CERT-FR

Objet: Vulnérabilité dans Dreamweaver et Contribute

Gestion du document

Référence	CERTA-2008-AVI-034
Titre	Vulnérabilité dans Dreamweaver et Contribute
Date de la première version	22 janvier 2008
Date de la dernière version	22 janvier 2008
Source(s)	Bulletin de sécurité APSB08-01 de Adobe du 16 janvier 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance (XSS)

Systèmes affectés

Contribute 4.
Contribute CS3 ;
Dreamweaver 8 ;
Dreamweaver CS3 ;

Résumé

Les codes engendrés par les versions vunérables des logiciels de Adobe permettent une attaque du type injection de code indirect.

Description

Les fichiers SWF créés avec la commande Insert Flash Video, depuis une application Adobe vulnérable, permettent l'injection de code indirecte qui sera exécuté dans le contexte du site visité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Adobe apsb08-01 du 16 janvier 2008 :

http://www.adobe.com/support/security/bulletins/apsb08-01.html

Référence CVE CVE-2007-6244

https://www.cve.org/CVERecord?id=CVE-2007-6244

Référence CVE CVE-2007-6637

https://www.cve.org/CVERecord?id=CVE-2007-6637

Gestion détaillée du document

le 22 janvier 2008: version initiale.