Numéro : AL16-020
Date : le 27 octobre 2016
Objet
La présente alerte vise à attirer l'attention sur l'exploitation active d'une vulnérabilité dans Adobe Flash Player.
Évaluation
Le CCRIC a connaissance d'attaques tentant d'exploiter une vulnérabilité critique dans Adobe Flash Player, Adobe Flash Player for Google Chrome, Adobe Flash Player pour Microsoft Edge et Internet Explorer 11; et version 11.2.202.637 de Adobe Flash Player pour Linux. La vulnérabilité existe dans les versions 23.0.0.185 et antérieures pour Adobe Flash Runtime. Identifiée comme CVE-2016-7855, l'exploitation de cette vulnérabilité peut, après un déni de service, permettre à un attaquant de prendre contrôle du système affecté.
Mesure suggérée
Vu le risque élevé que présente cette vulnérabilité, le CCRIC recommande aux administrateurs de tester les mises à jour du fournisseur puis de les appliquer aux applications touchées. Le CCRIC recommande d'appliquer ce correctif en priorité.
Les organisations devraient envisager d'installer de la trousse à outils EMET (Experience Mitigation Toolkit) de Microsoft. Cette trousse atténue les risques d'exploitation de ces vulnérabilités par l'ajout de couches de protection.
Références
CCRIC avis AV16-174 : Mise à jour de sécurité d'Adobe Flash Player: https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2016/av16-174-fr.aspx