Adobe corrige plusieurs vulnérabilités critiques et importantes dans Flash Player, Creative Cloud et Connect

Adobe a corrigé plusieurs vulnérabilités dans ses produits Flash Player, Creative Cloud et Connect dans l'édition de mai de son patch mensuel.

Une vulnérabilité critique a été découverte dans les versions 29.0.0.140 et antérieures de Flash Player. Cette vulnérabilité est référencée CVE-2018-4944, et a été corrigée dans la version 29.0.0.171 désormais disponible pour Windows, Mac, Linux et Chrome OS. Elle est de type « confusion de type » et pourrait induire une exécution de code arbitraire. Cependant, selon Adobe, l’exploitation de cette faille n’est actuellement pas considérée comme imminente et il n y a pas d’urgence quant à l’installation du correctif.

Par ailleurs, trois autres vulnérabilités ont été corrigées dans Creative Cloud pour Windows et MacOS. Les vulnérabilités en question concernent les versions 4.4.1.298 et antérieures et représentent un risque d’élévation de privilèges considéré comme important, ainsi qu’une possibilité de contournement d’authentification qualifiée comme critique. Pour le premier cas, les vulnérabilités en question sont dues à une mauvaise validation des entrées ainsi qu’à une vulnérabilité de type Unquoted Search Path, et portent les références respectives CVE-2018-4992 et CVE-2018-4873. Pour le second cas, la vulnérabilité est due à mauvaise validation de certificat et est référencée par la CVE-2018-4991.

Enfin, Adobe a corrigé une vulnérabilité importante de contournement d'authentification affectant les versions 9.7.5 et antérieures de Connect. La vulnérabilité en question est référencée CVE-2018-4994.