CERTA-2002-AVI-171

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités présentes dans Macromedia Flash Player permettent d'accèder aux données de l'utilisateur, ou d'exécuter du code arbitraire sur sa machine.

Description

Macromedia Flash Player permet de lire des fichiers au format Flash.

Deux vulnérabilités ont été découvertes dans Macromedia Flash Player.

La première vulnérabilité concerne les entêtes des fichiers au format Shockwave Flash (extension .swf). Un utilisateur mal intentionné peut modifier l'entête d'un tel fichier dans le but de faire exécuter du code arbitraire sur la machine d'un internaute lisant ce fichier.

La seconde vulnérabilité permet à un utilisateur mal intentionné de lire le contenu de certains fichiers d'un internaute, et de rediriger ceux-ci vers un serveur Web. Le nom des fichiers lus doit être connu préalablement.

Solution

Mettre à jour Macromedia Flash Player avec la version 6,0,47,0.

La nouvelle version peut être téléchargée depuis l'adresse suivante :

http://www.macromedia.com/go/getflashplayer

Navigateurs Web avec Macromedia Flash Player versions antérieures à la version 6,0,47,0.

Impacted products
Vendor Product Description
References
Avis Macromedia MPSB02-10 None vendor-advisory
Avis Macromedia MPSB02-09 None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eNavigateurs Web avec Macromedia Flash Player versions  ant\u00e9rieures \u00e0 la version 6,0,47,0.\u003c/P\u003e",
  "content": "## Description\n\nMacromedia Flash Player permet de lire des fichiers au format Flash.\n\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Macromedia Flash Player.\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 concerne les ent\u00eates des fichiers au format\nShockwave Flash (extension .swf). Un utilisateur mal intentionn\u00e9 peut\nmodifier l\u0027ent\u00eate d\u0027un tel fichier dans le but de faire ex\u00e9cuter du code\narbitraire sur la machine d\u0027un internaute lisant ce fichier.\n\nLa seconde vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal intentionn\u00e9 de lire\nle contenu de certains fichiers d\u0027un internaute, et de rediriger ceux-ci\nvers un serveur Web. Le nom des fichiers lus doit \u00eatre connu\npr\u00e9alablement.\n\n## Solution\n\nMettre \u00e0 jour Macromedia Flash Player avec la version 6,0,47,0.\n\nLa nouvelle version peut \u00eatre t\u00e9l\u00e9charg\u00e9e depuis l\u0027adresse suivante :\n\n    http://www.macromedia.com/go/getflashplayer\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-171",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-08-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "Acc\u00e8s non autoris\u00e9 aux donn\u00e9es"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans Macromedia Flash Player permettent\nd\u0027acc\u00e8der aux donn\u00e9es de l\u0027utilisateur, ou d\u0027ex\u00e9cuter du code arbitraire\nsur sa machine.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans Macromedia Flash Player",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis Macromedia MPSB02-10",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis Macromedia MPSB02-09",
      "url": "http://www.macromedia.com/v1/handlers/index.cfm?ID=23293"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.