|
Accueil   Programmes Gestion des urgences Intervention CCRIC Diffusions analytiques2 AV06-031 : Multiples vulnérabilités d’exécution de code à distance dans Adobe Macromedia Flash Player
Numéro : AV06-031
Date : 13 septembre 2006 ObjetCet avis a pour objet d’attirer votre attention sur de multiples vulnérabilités qui ont été identifiées dans le logiciel Adobe Macromedia Flash Player. ÉvaluationDes vulnérabilités critiques ont été identifiées dans le logiciel Flash Player 8.0.24.0 et les versions antérieures. Un attaquant qui réussirait à exploiter ces vulnérabilités pourrait prendre le contrôle du système touché. L’utilisateur final doit charger un fichier SWF malicieux dans Flash Player pour qu’un attaquant puisse exploiter ces vulnérabilités. La première défectuosité est causée par des erreurs de validation des données d’entrée lorsque le logiciel traite de trop longues chaînes générées dynamiquement. Ces erreurs pourraient être exploitées par des attaquants à distance pour exécuter des commandes arbitraires au moyen d’une page Web malicieuse. Le deuxième problème découle d’une erreur dans l’option « allowScriptAccess ». Cette erreur pourrait être exploitée par des sites Web malicieux pour contourner des restrictions de sécurité et lancer des attaques inter-domaines au moyen de scripts. La troisième vulnérabilité est causée par une erreur dans la façon dont le contrôle ActiveX est invoqué par les produits Office. Cette erreur pourrait être exploitée par des attaquants pour exécuter du code Flash arbitraire sans interaction avec l’utilisateur lorsque ce dernier ouvre un document Office malicieux. Actions suggéréeDSP recommande aux administrateurs de tester et d’installer la dernière version du logiciel, 9.0.16.0, disponible à l’adresse :
http://www.adobe.com/go/getflashplayer/ Pour obtenir plus d’information, veuillez consulter les pages Web ci-dessous : http://www.frsirt.com/english/advisories/2006/3573
http://www.adobe.com/support/security/bulletins/apsb06-11.html Avis aux lecteursLe Centre canadien de réponse aux incidents cybernétiques (CCRIC) recueille des renseignements concernant les menaces et les incidents cybernétiques contre les infrastructures essentielles du Canada. Cela nous permet de surveiller et d'analyser les menaces, de même que de diffuser des alertes, des avis de sécurité et d’autres produits d’information. Pour signaler des menaces ou des incidents, veuillez communiquer avec le Centre des opérations du gouvernement (COG) au (613) 991-7000 ou à l'adresse cog-goc@sppcc.gc.ca. L'utilisation non autorisée de systèmes informatiques et les méfaits en matière de données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la Gendarmerie royale du Canada (GRC) reçoit de tels rapports 24 heures sur 24 et 7 jours sur 7 ou réachemine les appels aux autorités policières locales. On peut rejoindre le CNO au (613) 993-4460. Les préoccupations liées à la sécurité nationale doivent être transmises au Service canadien du renseignement de sécurité (SCRS) au (613) 993-9620. En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au: Téléphone : (613) 991-7000
Télécopieur : (613) 996-0995
Télécopieur sécuritaire : (613) 991-7094
Courriel : cog-goc@sppcc.gc.ca Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC: Téléphone : (613) 944-4875 ou 1-800-830-3118
Télécopieur : (613) 998-9589
Courriel : communications@sppcc.gc.ca
|
Version imprimable
Envoyer cette page