Adobe corrige 7 failles critiques et bloque Flash Player

Adobe Systems a corrigé sept vulnérabilités critiques qui affectent les utilisateurs de Windows, macOS et Linux. L’impact de ces failles va de l’exécution de code arbitraire à la divulgation d’informations sensibles.

Les mises à jour de sécurité régulièrement programmées par l’éditeur de logiciels ont un impact sur un grand nombre de ses logiciels multimédias et de créativité, de Photoshop à Illustrator en passant par Adobe Bridge.

Parallèlement à la mise à jour de sécurité, Adobe bloquera également le contenu Flash Player, des semaines après la suppression de la prise en charge de Flash. Cette décision signifie que lorsque les utilisateurs tentent de charger une page avec Flash Player, le contenu ne se chargera plus.

“Étant donné qu’Adobe ne prendra plus en charge Flash Player après le 31 décembre 2020 et qu’Adobe empêchera le contenu de Flash de s’exécuter dans Flash Player à partir du 12 janvier 2021, Adobe recommande vivement à tous les utilisateurs de désinstaller immédiatement Flash Player pour aider à protéger leurs systèmes”, selon Adobe.

Une mise à jour classique de priorité 3

L’une des failles critiques les plus graves (CVE-2021-21009) a été corrigée dans Adobe Campaign Classic, la plate-forme de gestion de campagnes marketing d’Adobe.

«Ces mises à jour corrigent une vulnérabilité critique de falsification de requête côté serveur (SSRF) qui pourrait entraîner la divulgation d’informations sensibles», selon Adobe. SSRF est une vulnérabilité Web qui permet aux attaquants d’induire l’application côté serveur à effectuer des requêtes HTTP vers un domaine arbitraire.

Différentes versions de Campaign Classic pour les utilisateurs Windows et Linux sont concernées. Une description détaillée complète des versions affectées et des versions corrigées est disponible ici.

La faille a été catégorisée comme étant de «priorité 2», ce qui, selon Adobe, signifie qu’elle résout les vulnérabilités d’un produit qui a «historiquement été à haut risque» – mais pour lequel il n’y a actuellement aucun exploit connu.

«En se basant sur l’expérience précédente, nous ne prévoyons pas que des exploits soient imminents», selon la société américaine. «En tant que meilleure pratique, Adobe recommande aux administrateurs d’installer la mise à jour rapidement (par exemple, dans les 30 jours).»

adobe

Il convient de noter que le reste des correctifs, bien que critiques, sont des mises à jour de «priorité 3», a déclaré Chris Goettl, directeur principal de la gestion des produits et de la sécurité chez Ivanti. Des trois priorités, la «priorité 1» est la plus sévère, tandis que la «priorité 3» est la moins sérieuse. Les mises à jour de «priorité 3» résolvent les failles d’un produit qui n’a pas été la cible des attaquants.

«Compte tenu de ces conseils, les administrateurs devraient chercher à mettre à jour Campaign Classic dans leur maintenance mensuelle», a déclaré Goettl. «Le reste des mises à jour doit être évalué et installé car il n’est jamais bon de laisser le logiciel stagner.»

Autres failles critiques de logiciels Adobe

Dans l’application phare de retouche de photos Photoshop, la société a corrigé une vulnérabilité de dépassement de mémoire tampon de gravité critique (CVE-2021-21006). Un débordement de tampon est une classe de vulnérabilité où la région de la mémoire d’un processus utilisée pour stocker des variables dynamiques peut être submergée. Si elle est exploitée, cette faille pourrait permettre l’exécution de code arbitraire.

La faille affecte Photoshop 2021 version 22.1 et antérieure pour Windows et macOS. Les utilisateurs doivent mettre à jour vers la version 22.1.1.

L’application de conception Adobe Illustrator présente également une faille critique (CVE-2021-21007) résultant d’un élément de chemin de recherche non contrôlé. Cette catégorie de vulnérabilité se produit lorsqu’une application utilise un chemin de recherche fixe (ou contrôlé) pour trouver des ressources – mais qu’un ou plusieurs emplacements du chemin sont sous le contrôle d’un utilisateur malveillant.

adobe

La faille, qui pourrait permettre l’exécution de code arbitraire se trouve dans Illustrator 2020 pour Windows et macOS versions 25 et antérieures. La version 25.1 contient le correctif.

Adobe Bridge, l’application de gestion des ressources numériques d’Adobe, présentait des vulnérabilités critiques liées à deux CVE, CVE-2021-21012 et CVE-2021-21013.

Ces erreurs proviennent de problèmes d’écriture hors limites, qui proviennent d’opérations d’écriture qui produisent ensuite des résultats non définis ou inattendus. Si elles sont exploitées, les failles peuvent entraîner l’exécution de code arbitraire.

Les deux failles existent dans Adobe Bridge version 11 et antérieure pour Windows. Un correctif a été déployé dans la version 11.0.1.

Adobe a également corrigé des failles critiques dans Animate (CVE-2021-21008) et InCopy (CVE-2021-21010), ainsi qu’une faille de gravité importante dans Captivate (CVE-2021-21011).

Les correctifs du mois de Janvier font suite aux mises à jour de sécurité régulières d’Adobe en Décembre, où la société a publié des correctifs pour les failles liées à un CVE de niveau important et de trois CVE de gravité critique dans ses applications Prelude, Experience Manager et Lightroom.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires