Une vulnérabilité critique d’exécution de code à distance a été identifiée sur Flash Player

Une vulnérabilité de criticité élevée affectant Adobe Flash Player a été identifiée. L'exploitation de cette dernière pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire.

La vulnérabilité, référencée CVE-2018-4878, concerne différentes gammes d’Adobe Flash Player dont :

  • Les versions Desktop Runtime ;
  • Les versions dédiées à Google Chrome ;
  • Les versions dédiées aux navigateurs Microsoft Edge et Internet Explorer 11.

L’exploitation de cette vulnérabilité nécessite l’exécution par la victime d’un fichier Flash spécialement conçu (à travers un document, un site malveillant ou un mail indésirable).

Adobe prévoit de publier une mise à jour de sécurité la semaine du 5 février. En attendant, les utilisateurs peuvent mettre en œuvre les mesures d'atténuation publiées sur l’avis d’Adobe.

Informations
+

Impact

  • Exécution de code arbitraire à distance

Criticité

  • CVSS v3 : 8.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Adobe Flash Player version 28.0.0.137 et les versions antérieures pour:

  • Desktop Runtime (Win / Mac / Linux) ;
  • Google Chrome (Win / Mac / Linux / Chrome OS) ;
  • Microsoft Edge et Internet Explorer 11 (Windows 10 et 8.1).

CVE

  • CVE-2018-4878

Recommandations
+

Correctifs

  • Adobe a déclaré qu’une version corrective traitant cette vulnérabilité est prévue pour la semaine du 5 février.

Mesure d'atténuation

  • A partir de la version 27, les administrateurs peuvent configurer le comportement de Flash Player sur Internet Explorer sur Windows 7 de sorte à ce qu'il demande la validation de l'utilisateur avant d'exécuter du contenu SWF.