Adobe met en garde contre des failles d’Acrobat and Reader

Adobe a corrigé des failles de gravité critique liées à quatre CVE dans les versions Windows et macOS de sa famille de services logiciels d’application Acrobat and Reader. Les vulnérabilités pourraient être exploitées pour exécuter du code arbitraire sur les produits concernés.

Ces failles critiques incluent un débordement de tampon (CVE-2020-24435), un problème d’écriture hors limites (CVE-2020-24436) et deux failles use-after-free (CVE-2020-24430 et CVE-2020- 24437). Les failles de sécurité font partie des correctifs régulièrement programmés d’Adobe, qui corrigeaient globalement les vulnérabilités critiques, importantes et modérées liées à 14 CVE.

En règle générale, Adobe déploie ses mises à jour régulièrement programmées le deuxième mardi du mois. Cependant, «bien qu’Adobe s’efforce de publier des mises à jour régulières le mardi, ces mises à jour de sécurité régulièrement programmées sont parfois publiées à d’autres dates», a déclaré un porte-parole d’Adobe. «La version de novembre 2020 d’Adobe Reader et d’Acrobat est une version standard du produit qui inclut de nouvelles fonctionnalités ainsi que des correctifs pour les bugs et les failles de sécurité.»

adobe

Au-delà des failles de gravité critique, Adobe a également corrigé des vulnérabilités de gravité importante liées à six CVE. Il s’agit notamment des problèmes qui permettent une élévation des privilèges locaux, y compris une faille de contrôle d’accès incorrect (CVE-2020-24433), un problème de contournement de vérification de signature (CVE-2020-24429) et un problème de condition de concurrence (CVE-2020-24428) ).

Parmi les autres failles de gravité importantes on trouve deux problèmes de validation d’entrée incorrecte, l’un conduisant à l’exécution arbitraire de JavaScript (CVE-2020-24432) et l’autre permettant la divulgation d’informations (CVE-2020-24427).

Une autre faille de gravité importante provient d’un contournement des fonctionnalités de sécurité qui pourrait permettre l’injection dynamique de bibliothèques (CVE-2020-24431).

De plus, des failles de gravité modérée liées à quatre CVE pourraient permettre la divulgation d’informations (CVE-2020-24426, CVE-2020-24434, CVE-2020-24438) et le contournement de la vérification de signature (CVE-2020-24439).

Les versions concernées incluent Acrobat DC et Acrobat Reader DC Continuous versions 2020.012.20048 et antérieures; (pour Windows et macOS); Acrobat et Acrobat Reader Classic 2020 versions 2020.001.30005 et antérieures (pour Windows et macOS) et Acrobat et Acrobat Reader Classic 2017 versions 2017.011.30175 et antérieures (pour Windows et macOS).

adobe

Les utilisateurs peuvent effectuer une mise à jour vers Acrobat DC et Acrobat Reader DC Continuous version 2020.013.20064; Acrobat et Acrobat Reader Classic 2020 version 2020.001.30010 et Acrobat et Acrobat Reader Classic 2017 version 2017.011.30180.

Les failles ont une note de «priorité 2», qui, selon Adobe, résout les vulnérabilités «dans un produit qui a toujours été à haut risque».

«Il n’y a actuellement aucun exploit connu», selon Adobe. «En se basant sur notre expérience précédente, nous ne prévoyons pas que des exploits soient imminents. Comme bonne pratique, Adobe recommande aux administrateurs d’installer la mise à jour rapidement (par exemple, dans les 30 jours). »

Les utilisateurs peuvent mettre à jour manuellement les installations de leurs produits en choisissant Aide> Rechercher les mises à jour. Cependant, le produit se mettra également à jour automatiquement, sans nécessiter l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.

Une activité importante d’Adobe

Les correctifs du mois de Novembre viennent après un mois d’Octobre chargé pour Adobe. Après avoir mis en garde contre une vulnérabilité critique dans son application Flash Player pour les utilisateurs des systèmes d’exploitation Windows, macOS, Linux et ChromeOS, Adobe a publié plus tard dans le mois 18 correctifs de sécurité dans 10 logiciels différents, y compris des correctifs pour des vulnérabilités critiques qui s’étendent à toute sa gamme de produits. Adobe Illustrator a été le plus durement touché.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x