Je suis tombé par hasard sur une page du site du C.E.R.T.A. (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) qui dénonce une vulnérabilité de la version 3 de Flex permettant l’injection de code indirecte dans vos applications.

Voici le lien vers la page du C.E.R.T.A et le lien vers le bulletin Adobe annonçant cette vulnérabilité. Adobe considère comme importante cette mise à jour et recommandeaux utilisateurs de mettre à jour leurs installations logicielles et site internet si nécessaire.

La solution

Adobe recommande à tous les développeurs Flex 3 qui ont autorisé le module “History Management” de mettre à jour les applications créés avec Flex 3 et le FlexBuilder en procédant comme ceci

  1. Les utilisateurs de Flex 3 (Flex 3 SDK et Flex Builder 3) doivent mettre à jour leurs produits avec cette mise à jour Flex 3.0.2 SDK.
  2. Les utilisateurs de Flex 3 qui ont autorisé le module “History Management” dans leurs applications déployées en Flex 3 doivent mettre à jour  toutes les instances du fichier historyFrame.html avec ce fichier mis à jour. Les 3 versions de historyFrame.html dans l’installation du SDK de Flex 3 installation peuvent être trouvé dans les répertoires suivants :
  • {install root}/templates/client-side-detection-with-history/history/historyFrame.html
  • {install root}/templates/express-installation-with-history/history/historyFrame.html
  • {install root}/templates/no-player-detection-with-history/history/historyFrame.html