Adobe patch 35 failles dans Illustrator, Bridge et Magento

Adobe met en garde contre des failles critiques d’Adobe Bridge, Adobe Illustrator et de la plate-forme de commerce électronique Magento. Si elles sont exploitées, les vulnérabilités les plus graves pourraient permettre l’exécution de code à distance sur les systèmes affectés.

La mise à jour de sécurité d’Adobe a corrigé des vulnérabilités liées à 35 CVE au total (dont 25 sont critiques). La majorité de ces failles affectent Bridge (version 10.0.1 et versions antérieures sur Windows), le logiciel de gestion des actifs numériques de la société.

“Cette mise à jour corrige plusieurs vulnérabilités critiques et importantes qui pourraient conduire à l’exécution de code arbitraire et à la divulgation d’informations dans le contexte de l’utilisateur actuel”, selon la mise à jour d’Adobe.

adobe

Les failles critiques incluent une faille de débordement de tampon sur la pile (CVE-2020-9555), des failles de débordement de tas (CVE-2020-9562, CVE-2020-9563), un problème de corruption de mémoire (CVE-2020-9568) et des vulnérabilités use-after-free (CVE-2020-9566, CVE-2020-9567). On trouve aussi des failles d’écriture hors limites critiques (CVE-2020-9554, CVE-2020-9556, CVE-2020-9559, CVE-2020-9560, CVE-2020-9561, CVE-2020-9564, CVE- 2020-9565, CVE-2020-9569). Tous ces éléments pourraient permettre l’exécution de code arbitraire s’ils étaient exploités par un attaquant distant.

“Il existe plusieurs CVE de niveau critique adressées qui pourraient permettre à un attaquant distant d’exécuter du code sur un système si un utilisateur ouvrait un fichier spécialement conçu”, a déclaré Dustin Childs, directeur de Zero Day Initiative de Trend Micro. «Parmi ceux-ci, les écritures en dehors des limites et les débordements de tas doivent être considérés comme plus critiques que les autres. Pourtant, toutes ces failles nécessitent une quantité importante de travail pour les exploiter, car une attaque n’a aucun moyen trivial de contrôler le tas. »

Adobe a également révélé trois failles de lecture hors-limites importantes dans Bridge (CVE-2020-9553, CVE-2020-9557, CVE-2020-9558) qui pourraient permettre la divulgation d’informations. Francis Provencher, Mat Powell et un journaliste anonyme ont été crédité pour avoir découvert les vulnérabilités.

Les utilisateurs sont invités à effectuer la mise à jour vers Adobe Bridge version 10.0.4 sur Windows et macOS. La mise à jour est une «priorité 3» qui, selon Adobe, «résout les vulnérabilités d’un produit qui n’a historiquement pas été la cible des attaquants».

Adobe Illustrator 2020 (versions 24.0.2 et antérieures) est également affecté sur Windows. L’application de l’éditeur de graphiques vectoriels d’Adobe comportait des vulnérabilités critiques de corruption de mémoire (CVE-2020-9570, CVE-2020-9571, CVE-2020-9572, CVE-2020-9573, CVE-2020-9574) qui pouvaient permettre l’exécution de code arbitraire si elles étaient exploitées.

Les vulnérabilités ont été corrigées dans Illustrator 2020 24.1.2 sur Windows dans un correctif de «priorité 3». Kushal Arvind Shah de FortiGuard Labs a été crédité pour avoir signalé ces failles.

Adobe a également corrigé plusieurs failles critiques dans Magento – une cible favorite du cybergang Magecart – qui, si elles étaient exploitées, pouvaient conduire à l’exécution de code arbitraire ou à la divulgation d’informations. Les plus graves sont les failles d’injection de commande critiques (CVE-2020-9576, CVE-2020-9578, CVE-2020-9582, CVE-2020-9583) et les vulnérabilités critiques de contournement de la sécurité (CVE-2020-9579, CVE- 2020-9580). Les versions de Magento qui sont concernées peuvent être trouver ci-dessous.

adobe magento

Adobe patch faille après faille

Un peu plus tôt le mois dernier, Adobe a distribué des correctifs de sécurité pour les vulnérabilités de ses applications ColdFusion, After Effects et Digital Editions. Si elles étaient exploitées, ces failles pourraient permettre aux attaquants de visualiser des données sensibles, d’obtenir des privilèges élevés et de lancer des attaques de déni de service. La gravité de chacune des failles a été notée comme étant importante, marquant un mois extrêmement faible en ce qui concerne les corrections de failles pour Adobe.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x