Adobe a patché 35 failles dans Photoshop et Acrobat Reader

Adobe a distribué plusieurs mises à jour de sécurité pour patcher les failles de sécurité critiques de ses produits Photoshop et Acrobat Reader, qui, si elles étaient exploitées, pourraient permettre l’exécution de code arbitraire.

Globalement, Adobe a patché des failles de sécurité liées à 41 CVE dans ses produits, dont 29 étaient critiques. Ces patchs ne sont pas associés aux mises à jour régulière de la compagnie (Patch Tuesday). Il faut aussi noté qu’il n’y a pas eu de Patch Tuesday au mois de Mars.

Parmi toutes ces mises à jour de sécurité, on remarque que Photoshop avait le plus de vulnérabilités patchées, avec 22 CVE corrigées au total, dont 16 étaient critiques: «Adobe a distribué des mises à jour pour Photoshop sur Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes », selon le communiqué de la compagnie américaine. “Une exploitation réussie pourrait conduire à l’exécution de code arbitraire dans le contexte de l’utilisateur actuel.”

Ces failles de sécurité critiques d’exécution arbitraire incluent une corruption de tas (CVE-2020-3783), des corruptions de mémoire (CVE-2020-3784, CVE-2020-3785, CVE-2020-3786, CVE-2020-3787, CVE-2020-3788, CVE- 2020-3789, CVE-2020-3790), des écritures hors-limites (CVE-2020-3773, CVE-2020-3779) et des erreurs de tampon (CVE-2020-3770, CVE-2020-3772, CVE-2020-3774, CVE-2020-3775, CVE-2020-3776, CVE-2020-3780).

Les produits concernés sont Photoshop CC 2019 (versions 20.0.8 et antérieures) et Photoshop 2020 (versions 21.1 et antérieures) sur Windows et macOS. Les utilisateurs peuvent mettre à jour vers Photoshop CC 2019 versions 20.0.9 et Photoshop 2020 21.1.1.

adobe patch

Adobe a également patché 13 vulnérabilités dans Acrobat et Reader, dont 9 failles critiques. Les failles critiques incluent une écriture hors-limites (CVE-2020-3795), un dépassement de mémoire tampon sur la pile (CVE-2020-3799), des failles use-after-free (CVE-2020-3792, CVE-2020-3793, CVE- 2020-3801, CVE-2020-3802, CVE-2020-3805), un dépassement de mémoire tampon (CVE-2020-3807) et une corruption de mémoire (CVE-2020-3797). Toutes ces failless critiques permettent l’exécution de code arbitraire dans le contexte de l’utilisateur actuel.

Vous pouvez voir les versions concernées d’Acrobat et de Reader dans l’image ci-dessous:

adobe

Adobe invite les utilisateurs à mettre à jour vers les versions 2020.006.20042 pour Acrobat et Reader DC, 2017.011.30166 pour Acrobat et Reader 2017 et 2015.006.30518 pour Acrobat et Reader 2015).

Parmi les autres vulnérabilités, on dénombre 2 failles critiques dans Adobe ColdFusion, notamment une lecture de fichier à distance (CVE-2020-3761) à partir du répertoire d’installation de ColdFusion et une faille critique d’inclusion de fichiers (CVE-2020-3794) qui permet l’exécution de code arbitraire de fichiers situés dans la racine Web ou le sous-répertoire.

2 failles critiques ont également été corrigées dans Adobe Bridge, elles permettaient l’exécution de code arbitraire. Parmi elles on note une faille d’écriture hors-limites (CVE-2020-9551) et un problème de dépassement de tampon (CVE-2020-9552). De plus, Adobe a également patché d’importantes failles dans Adobe Genuine Integrity Service et Adobe Experience Manager.

Pas de patch Tuesday pour Adobe au mois de Mars

Alors qu’Adobe n’avait pas distribué de mises à jour régulières prévues un peu plus tôt au mois de Mars, la compagnie avait patché des failles liées à 42 CVE dans ses mises à jour régulières du mois de Février, 35 de ces failles étaient critiques. Cette mise à jour de sécurité d’Adobe a largement dépassé celle de Janvier qui ne corrigeait que 9 vulnérabilités au total, y compris celles d’Illustrator CC et d’Experience Manager.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de