Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Flash player: Une deuxième faille zero day divulgué par le dump de la Hacking Team

12 Juillet 2015 , Rédigé par nicko Publié dans #informatique

Un autre exploit zéro-day sur flash a émergé des centaines de gigaoctets de données récemment divulgué par le dump de la Hacking Team, une société de logiciels de surveillance italienne qui a été longtemps accusé de vendre des logiciels d'espionnage aux gouvernements et aux agences de renseignement.

Flash player: Une deuxième faille zero day divulgué par le dump de la Hacking Team

La vulnérabilité critique zéro-day dans Adobe Flash est de type use-after-free () de programmation libre de la faille ( CVE-2015-5122 ), qui est similaire à la vulnérabilité flash CVE-2015-5119 patché la semaine dernière et qui permet à un attaquant de détourner les ordinateurs vulnérables.

Adobe dit que les cyber-criminels exploitent apparemment déjà cette vulnérabilité pour laquelle aucun correctif existe encore. Cependant, c'est la deuxième fois en une semaine que l'entreprise travaille sur un correctif pour une vulnérabilité zéro-day dans son logiciel Flash Player.

Faille zéro-day dans la nature

Le code d'exploitation pour cette faille est déjà disponible en ligne, permettant à un attaquant d'exécuter à distance du code malveillant sur les ordinateurs des victimes et installer des logiciels malveillants, a déclaré Adobe dans un bulletin de mise en garde publié vendredi.

"L'exploitation réussie de la faille [CVE-2015-5122] pourrait provoquer un crash et potentiellement permettre à un attaquant de prendre le contrôle du système affecté", a déclaré Adobe

La vulnérabilité zéro-day est présente dans la dernière version d'Adobe Flash Player 18.0.0.204 et dans les versions antérieures sur Windows, Linux et Mac OS X.

Adobe a crédité le chercheur de FireEye Dhanesh Kizhakkinan pour avoir signalé la vulnérabilité documentée dans les données volées par la Hacking Team .

Par conséquent, il est conseillé de désactivé le logiciel Flash installé ou le supprimer jusqu'à ce que la société patches le bug de sécurité critique.

Source: Thehackernews

CVE-2015-5122

 

 

CVE-ID

CVE-2015-5122

• Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings
Description
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
References
Note: References are provided for the convenience of the reader to help distinguish between vulnerabilities. The list is not intended to be complete.
Date Entry Created
20150626 Disclaimer: The entry creation date may reflect when the CVE-ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
Phase (Legacy)
Assigned (20150626)
Votes (Legacy)
Comments (Legacy)
Proposed (Legacy)
N/A
This is an entry on the CVE list, which standardizes names for security problems.
CVE-2015-5119

CVE-ID

CVE-2015-5119

• Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings
Description
Use-after-free vulnerability in the ByteArray class in the ActionScript 3 (AS3) implementation in Adobe Flash Player 13.x through 13.0.0.296 and 14.x through 18.0.0.194 on Windows and OS X and 11.x through 11.2.202.468 on Linux allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted Flash content that overrides a ValueOf function, as exploited in the wild in July 2015.
References
Note: References are provided for the convenience of the reader to help distinguish between vulnerabilities. The list is not intended to be complete.
Date Entry Created
20150626 Disclaimer: The entry creation date may reflect when the CVE-ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
Phase (Legacy)
Assigned (20150626)
Votes (Legacy)
Comments (Legacy)

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Alex 22/02/2017 11:46

How to fix flash player update issues in windows 7