Adobe corrige plusieurs vulnérabilités dans Flash Player, Dreamweaver et Connect

Le Patch Tuesday d’Adobe Systems a été publié pour le mois de mars. Il apporte des mises à jour corrigeant plusieurs vulnérabilités dans les produits Adobe Dreamweaver, Flash Player et Connect.

Concernant Flash Player, Adobe a publié une nouvelle version, 29.0.0.113, pour Windows, Mac, Linux et Chrome OS afin de corriger deux vulnérabilités critiques affectant les versions 28.0.0.161 et antérieures. Il s’agit d’une vulnérabilité dont l’exploitation permet d’utiliser de la mémoire après libération (CVE-2018-4919) et d’une vulnérabilité liée au typage des variables (CVE-2018-4920) dont l'exploitation permettrait d'exécuter du code à distance dans le contexte de l'utilisateur courant. Adobe a affirmé qu’aucun exploit relatif à ces vulnérabilités n’a été encore été identifié.

Dans Dreamweaver CC, Adobe a corrigé une vulnérabilité critique d'injection de commandes OS, CVE-2018-4924. Elle affecte les versions 18.0 et antérieures pour Windows et est liée au gestionnaire d'URI de Dreamweaver. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte de l'utilisateur actuel.

La dernière version d'Adobe Connect corrige deux vulnérabilités importantes : 

  • une faille d'injection de commandes système, CVE-2018-4923, dont l’exploitation permettrait une suppression arbitraire de fichiers ; 
  • une vulnérabilité de téléchargement de fichier SWF non restreint, CVE-2018-4921, pouvant être exploitée pour des attaques XSS (cross-site scripting).

Les utilisateurs sont invités à mettre à jour leurs produits vers les versions les plus récentes non vulnérables.