Une faille de Flash Player permet des exécutions de code

Adobe met en garde contre une vulnérabilité critique dans son application Flash Player pour les utilisateurs des systèmes d’exploitation Windows, macOS, Linux et ChromeOS.

La vulnérabilité est la seule faille divulguée ce mois-ci dans le cadre des correctifs régulièrement programmés d’Adobe (nettement moins que les 18 failles corrigées lors de ses correctifs programmés du mois de Septembre). Cependant, il s’agit d’une faille critique (CVE-2020-9746), et si elle est exploitée avec succès, elle pourrait conduire à un plantage exploitable, pouvant entraîner l’exécution de code arbitraire dans le contexte de l’utilisateur actuel, selon Adobe.

Comme c’est généralement le cas pour les vulnérabilités de Flash Player, l’exploitation Web est le principal vecteur d’exploitation, mais pas le seul. Ces vulnérabilités peuvent également être exploitées via un contrôle ActiveX intégré [une fonctionnalité du Remote Desktop Protocol] dans un document Microsoft Office ou toute application utilisant le moteur de rendu d’Internet Explorer.

adobe

Le problème provient d’une erreur de déréférence de pointeur NULL. Ce type de problème se produit lorsqu’un programme tente de lire ou d’écrire dans la mémoire avec un pointeur NULL. L’exécution d’un programme contenant un déréférencement de pointeur NULL génère une erreur de segmentation immédiate.

Les versions 32.0.0.433 et antérieures d’Adobe Flash Desktop Runtime (pour Windows, macOS et Linux) sont concernées ainsi que Adobe Flash Player pour Google Chrome (Windows, macOS, Linux et Chrome OS) et Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 (Windows 10 et 8.1).

Un correctif est disponible dans la version 32.0.0.445 sur toutes les plates-formes concernées (voir ci-dessous). Adobe classe le correctif comme une «priorité 2», ce qui signifie qu’il «résout les vulnérabilités d’un produit qui a toujours été à haut risque». Cependant, il n’y a actuellement aucun exploit connu.

adobe flash player

Flash est connu pour être l’une des cibles préférées pour les cyberattaques, en particulier pour les kits d’exploitation, les attaques zero-day et les plans d’hameçonnage. Il convient de noter qu’Adobe a annoncé en juillet 2017 qu’il prévoyait de pousser Flash dans un état de fin de vie, ce qui signifie qu’il ne mettra plus à jour ni ne distribuera Flash Player à la fin de cette année. En Juin, alors que la date d’arrêt du 31 décembre de Flash Player approchait rapidement, Adobe a déclaré qu’il commencerait à inciter les utilisateurs à désinstaller le logiciel dans les mois à venir.

Flash Player a déjà causé des maux de tête aux administrateurs système au cours de l’année écoulée, Adobe avait mis en garde contre des problèmes critiques qui pourraient permettre l’exécution de code arbitraire en Février et en Juin.

Mettez Flash Player à jour

Adobe recommande aux utilisateurs de mettre à jour les installations de leurs produits vers les dernières versions en suivant les instructions référencées dans le bulletin. En tant que meilleure pratique en matière de sécurité, la correction des vecteurs de menaces couramment exploitables ou récurrents est toujours fortement encouragée.

Pour les organisations qui ne peuvent pas supprimer Adobe Flash en raison d’une fonction critique pour l’entreprise, il est recommandé d’atténuer le potentiel de menace de ces vulnérabilités en empêchant Adobe Flash Player de s’exécuter complètement via la fonction killbit, définir une stratégie de groupe pour désactiver l’instanciation des objets Flash, ou limiter les paramètres du centre de confiance demandant des éléments de script actifs.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x