Flash player: Une deuxième faille zero day divulgué par le dump de la Hacking Team
Un autre exploit zéro-day sur flash a émergé des centaines de gigaoctets de données récemment divulgué par le dump de la Hacking Team, une société de logiciels de surveillance italienne qui a été longtemps accusé de vendre des logiciels d'espionnage aux gouvernements et aux agences de renseignement.
La vulnérabilité critique zéro-day dans Adobe Flash est de type use-after-free () de programmation libre de la faille ( CVE-2015-5122 ), qui est similaire à la vulnérabilité flash CVE-2015-5119 patché la semaine dernière et qui permet à un attaquant de détourner les ordinateurs vulnérables.
Adobe dit que les cyber-criminels exploitent apparemment déjà cette vulnérabilité pour laquelle aucun correctif existe encore. Cependant, c'est la deuxième fois en une semaine que l'entreprise travaille sur un correctif pour une vulnérabilité zéro-day dans son logiciel Flash Player.
Faille zéro-day dans la nature
Le code d'exploitation pour cette faille est déjà disponible en ligne, permettant à un attaquant d'exécuter à distance du code malveillant sur les ordinateurs des victimes et installer des logiciels malveillants, a déclaré Adobe dans un bulletin de mise en garde publié vendredi.
"L'exploitation réussie de la faille [CVE-2015-5122] pourrait provoquer un crash et potentiellement permettre à un attaquant de prendre le contrôle du système affecté", a déclaré Adobe
La vulnérabilité zéro-day est présente dans la dernière version d'Adobe Flash Player 18.0.0.204 et dans les versions antérieures sur Windows, Linux et Mac OS X.
Adobe a crédité le chercheur de FireEye Dhanesh Kizhakkinan pour avoir signalé la vulnérabilité documentée dans les données volées par la Hacking Team .
Par conséquent, il est conseillé de désactivé le logiciel Flash installé ou le supprimer jusqu'à ce que la société patches le bug de sécurité critique.
Source: Thehackernews
CVE-2015-5122
CVE-ID | ||
---|---|---|
CVE-2015-5122 |
• Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings
|
|
Description | ||
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided. | ||
References | ||
Note: References are provided for the convenience of the reader to help distinguish between vulnerabilities. The list is not intended to be complete. | ||
Date Entry Created | ||
20150626 | Disclaimer: The entry creation date may reflect when the CVE-ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE. | |
Phase (Legacy) | ||
Assigned (20150626) | ||
Votes (Legacy) | ||
Comments (Legacy) | ||
Proposed (Legacy) | ||
N/A | ||
This is an entry on the CVE list, which standardizes names for security problems. | ||
CVE-ID | |
---|---|
CVE-2015-5119 |
• Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings
|
Description | |
Use-after-free vulnerability in the ByteArray class in the ActionScript 3 (AS3) implementation in Adobe Flash Player 13.x through 13.0.0.296 and 14.x through 18.0.0.194 on Windows and OS X and 11.x through 11.2.202.468 on Linux allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted Flash content that overrides a ValueOf function, as exploited in the wild in July 2015. | |
References | |
Note: References are provided for the convenience of the reader to help distinguish between vulnerabilities. The list is not intended to be complete. | |
|
|
Date Entry Created | |
20150626 | Disclaimer: The entry creation date may reflect when the CVE-ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE. |
Phase (Legacy) | |
Assigned (20150626) | |
Votes (Legacy) | |
Comments (Legacy) | |