Adobe patch des failles dans ColdFusion, After Effects et Digital Editions

Adobe a distribué des patchs de sécurité pour les vulnérabilités de ses applications ColdFusion, After Effects et Digital Editions. Si elles étaient exploitées, ces failles pourraient permettre aux hackers de visualiser des données sensibles, d’obtenir des privilèges élevés et de lancer des attaques de déni de service. La gravité de chacune des failles a été notée comme étant importantes, sur la base des classements CVSS, marquant un mois extrêmement faible pour les corrections de failles Adobe.

Globalement, Adobe a corrigé des failles liées à cinq CVE dans le cadre de ses mises à jour de sécurité régulières. Ce nombre est faible par rapport au mois de Mars, où Adobe a corrigé des failles dans une mise à jour liée à 41 CVE dans ses produits, dont 29 étaient d’une gravité critique. En Février, Adobe a corrigé des failles liées à 42 CVE dans ses mises à jour régulières, dont 35 étaient d’une gravité critique.

“Après plusieurs mois de correctifs lourds et très critiques, Adobe nous donne une sorte de pause”, a déclaré Jay Goodman, responsable du marketing chez Automox, dans un communiqué. “Bien que les CVE ne soient marqués que comme importants, il est toujours bon d’appliquer les patchs de vos applications pour réduire votre exposition aux risques.”

Détails de ces failles d’Adobe

Trois des vulnérabilités révélées cette semaine ont été découvertes dans ColdFusion, la plate-forme commerciale de développement rapide d’applications Web d’Adobe. Ces failles comprenaient une faille de validation d’entrée insuffisante (CVE-2020-3767) qui pourrait permettre un déni de service (DoS) au niveau de l’application, un problème de détournement d’ordre de recherche de DLL (CVE-2020-3768) qui pourrait permettre une élévation de privilèges et un contrôle d’accès incorrect (CVE-2020-3796) qui pourrait entraîner la divulgation de la structure des fichiers système.

Sont concernés la mise à jour 14 et antérieure de ColdFusion 2016 (les utilisateurs sont encouragés à mettre à jour vers la mise à jour 15) et la mise à jour 8 et antérieure de ColdFusion 2018 (corrigée dans la mise à jour 9). Ces failles ont une note de mise à jour de priorité 2, ce qui signifie que les failles ont été trouvées dans un produit «qui a toujours été à risque élevé» – mais «il n’y a actuellement aucun exploit connu», selon Adobe.

adobe

Jason Troy (CVE-2020-3767), Nuttakorn Tungpoonsup et Ammarit Thongthua de l’équipe de recherche de Secure D Center et les chercheurs en sécurité Sittikorn Sangrattanapitak (CVE-2020-3768) et Raki Ben Hamouda (CVE-2020-3796) ont été crédité pour avoir découvert ces failles.

Adobe a également corrigé une faille de divulgation d’informations dans Adobe After Effects, utilisé pour les effets visuels numériques, les animations graphiques et l’application de composition sur Windows. La vulnérabilité (CVE-2020-3809) provient d’un problème de lecture hors limites. Matt Powell de Zero Day Initiative (ZDI) a été crédité pour la découverte de la faille.

Dustin Childs, responsable du programme ZDI, a déclaré que cette faille permet aux pirates distants de divulguer des informations sensibles sur les installations affectées d’Adobe After Effects. L’interaction de l’utilisateur est nécessaire pour exploiter cette vulnérabilité, la cible doit visiter une page malveillante ou ouvrir un fichier malveillant, a-t-il déclaré.

“La faille existe dans l’analyse des fichiers TIF”, a déclaré Childs. «Les données fabriquées dans un fichier TIF peuvent déclencher une lecture après la fin d’un tampon alloué. Un pirate informatique peut exploiter cela en conjonction avec d’autres vulnérabilités pour exécuter du code dans le contexte du processus actuel. »

Les versions 17.0.1 et antérieures d’After Effects sont concernées, un correctif est disponible dans les versions 17.0.6 pour Windows et macOS.

adobe coldfusion

Une autre faille, révélée dans Adobe Digital Editions, le logiciel de lecture de livres électroniques, pourrait permettre la divulgation d’informations. Cette vulnérabilité (CVE-2020-3798) provient de l’énumération des fichiers (hôte ou réseau local). Les versions concernées de Digital Editions sont les versions 4.5.11.187212 et inférieures sur Windows. Les utilisateurs doivent donc mettre à jour vers la version 4.5.11.187303. Gertjan Franken et Tom Van Goethem de imec-DistriNet ont été crédité pour avoir découvert ces failles de sécurité.