COSIG-2016-21

COSIG-2016-21

#####################################################################################

# Application: Adobe Flash Player
# Platforms: Windows,OSX
# Versions: 22.0.0.192 et précédentes
# Author: Francis Provencher du COSIG
# Site Web: https://cosig.gouv.qc.ca/avis/
# Twitter: @COSIG_
# Date: 12 juillet 2016
# CVE-2016-4177
# COSIG-2016-21

#####################################################################################

1) Introduction
2) Rapport de Coordination
3) Détails techniques
4) Preuve de concept

#####################################################################################

===============
1) Introduction
===============
Adobe Flash Player (ou plus simplement Flash Player) est un contrôle ActiveX, un plugin ou un lecteur multimédia autonome utilisant la technique Flash. La première version de la branche 10 est sortie en octobre 2008, peu après la sortie de la suite CS4 des logiciels Adobe.

(https://fr.wikipedia.org/wiki/Adobe_Flash_Player)

#####################################################################################

============================
2) Rapport de Coordination
============================

2016-05-10: Francis Provencher du COSIG rapporte cette vulnérabilité au PSIRT d’Adobe;
2016-05-17: Le PSIRT d’Adobe confirme la vulnérabilité;
2016-07-12: Adobe publie un correctif (APSB16-25);
2016-07-12: Le COSIG publie cet avis;

#####################################################################################

============================
3) Détails techniques
============================

La vulnérabilité permet à un attaquant distant d’exécuter du code malicieux ou d’accéder à des parties de mémoire allouées dynamiquement à l’aide de l’interaction d’un utilisateur
qui visite une page web ou qui ouvre un fichier SWF spécialement conçu, qui contient un « SceneAndFrameData » incluant des données invalides.

#####################################################################################

=====================
4) Preuve de concept
=====================

COSIG-2016-21

#####################################################################################