S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 22 janvier 2008
N° CERTA-2008-AVI-034
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Dreamweaver et Contribute

Gestion du document

Référence CERTA-2008-AVI-034
Titre Vulnérabilité dans Dreamweaver et Contribute
Date de la première version22 janvier 2008
Date de la dernière version22 janvier 2008
Source(s) Bulletin de sécurité APSB08-01 de Adobe du 16 janvier 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Contribute 4.
  • Contribute CS3 ;
  • Dreamweaver 8 ;
  • Dreamweaver CS3 ;

Résumé

Les codes engendrés par les versions vunérables des logiciels de Adobe permettent une attaque du type injection de code indirect.

Description

Les fichiers SWF créés avec la commande Insert Flash Video, depuis une application Adobe vulnérable, permettent l'injection de code indirecte qui sera exécuté dans le contexte du site visité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 22 janvier 2008
    version initiale.