Adobe a patché 16 failles dans Acrobat and Reader et DNG

Adobe a corrigé 16 failles critiques dans son application Acrobat et Reader et son kit de développement logiciel Adobe Digital Negative (DNG). Si elles étaient exploitées, ces failles pourraient permettre d’exécuter du code à distance.

Dans l’ensemble, Adobe a corrigé les vulnérabilités liées à 36 CVE dans sa mise à jour de sécurité régulière. Parmi ces failles, 24 sont critiques et de gravité importante dans l’application Acrobat et Reader, utilisée pour créer et gérer des fichiers PDF. Les 12 autres failles se trouvent dans son kit de développement logiciel Adobe DNG (SDK), qui prend en charge la lecture et l’écriture de fichiers DNG utilisés pour la photographie.

“Adobe n’a connaissance d’aucun exploit dans la nature pour aucun des problèmes abordés dans ces mises à jour”, selon le rapport d’Adobe.

Adobe Acrobat and Reader

Douze failles critiques ont été corrigées dans Acrobat and Reader. La majorité d’entre elles, si elles sont exploitées, peuvent permettre à un attaquant de lancer des attaques d’exécution de code arbitraire.

Les failles incluent une faille de débordement de tampon (CVE-2020-9612) qui existe dans le traitement des images JPEG2000, a déclaré Dustin Childs, directeur de Zero Day Initiative de Trend Micro.

“Le problème résulte du manque de validation appropriée de la longueur des données fournies par l’utilisateur avant de les copier dans un tampon”, a déclaré Childs. «Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus actuel.»

Une autre faille notable d’exécution de code est une vulnérabilité d’écriture hors limites (CVE-2020-9597). Childs a déclaré que cette faille spécifique existe dans l’analyse des fichiers .JPEG. «Les données fabriquées dans un fichier JPEG peuvent déclencher une écriture après la fin d’un tampon alloué», a-t-il déclaré. «Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus actuel.»

Il y’a aussi une faille provenant d’un code JavaScript spécifique incorporé dans un fichier PDF, qui peut entraîner une corruption de tas (CVE-2020-9607) lors de l’ouverture d’un document PDF dans Adobe Acrobat Reader DC 2020.006.20034.

“Avec une manipulation soigneuse de la mémoire, cela peut conduire à l’exécution de code arbitraire”, ont déclaré des chercheurs de Cisco Talos qui ont découvert la faille. «La victime devrait ouvrir le fichier malveillant ou accéder à une page Web malveillante pour déclencher cette vulnérabilité.»

adobe

Les autres failles critiques permettant l’exécution de code incluent un autre problème d’écriture hors limites (CVE-2020-9594), des erreurs de tampon (CVE-2020-9605, CVE-2020-9604) et une autre faille use-after-free (CVE- 2020-9606). Adobe a également corrigé une faille critique de condition (CVE-2020-9615) et des failles de contournement de sécurité (CVE-2020-9614, CVE-2020-9613, CVE-2020-9596, CVE-2020-9592), qui pourraient être exploitées par un pirate pour contourner les fonctionnalités de sécurité.

“Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes”, selon Adobe. “Une exploitation réussie pourrait conduire à l’exécution de code arbitraire dans le contexte de l’utilisateur actuel.”

Un certain nombre de failles de gravité importantes ont également été corrigées, notamment un pointeur nul (CVE-2020-9610) et une faille d’épuisement de la pile (CVE-2020-9611), ce qui peut permettre à des pirates de lancer des attaques de déni de service contre l’application. Des vulnérabilités de lecture hors limites (CVE-2020-9609, CVE-2020-9608, CVE-2020-9603, CVE-2020-9602, CVE-2020-9601, CVE-2020-9600, CVE-2020-9599) et des failles d’accès à la mémoire (CVE-2020-9598, CVE-2020-9595, CVE-2020-9593) ont également été corrigées.

Les versions concernées sont Acrobat and Reader DC Continuous 2020.006.20042 et antérieures; Acrobat and Reader Classic 2017 versions 2017.011.30166 et antérieures; et Acrobat and Reader Classic 2015 versions 2015.006.30518 et antérieures. Les versions corrigées pour chaque produit concerné sont ci-dessous.

adobe

La semaine dernière, Adobe avait publié un avis de sécurité concernant les mises à jour d’Acrobat and Reader.

Le kit de développement logiciel DNG d’Adobe

Adobe a également publié des correctifs pour les failles des versions 1.5 et antérieures de son kit de développement logiciel (SDK) DNG. Les utilisateurs sont invités à mettre à jour vers la version 1.5.1 du SDK.

Cela inclut les failles critiques de débordement de tas liés à quatre CVE (CVE-2020-9589, CVE-2020-9590, CVE-2020-9620, CVE-2020-9621). Si elles étaient exploitées, ces failles pourraient permettre l’exécution de code à distance.

Parmi les vulnérabilités corrigées on compte également 8 failles de lecture hors limites (CVE-2020-9622, CVE-2020-9623, CVE-2020-9624, CVE-2020-9625, CVE-2020-9626, CVE-2020-9627, CVE- 2020-9628, CVE-2020-9629) qui pourraient être utilisées à des fins de divulgation d’informations. Mateusz Jurczyk de Google Project Zero a été crédité pour la découverte de ces failles.

En avril, Adobe a publié des correctifs de sécurité pour les vulnérabilités de ses applications ColdFusion, After Effects et Digital Editions. Si elles étaient exploitées, ces failles pourraient permettre aux pirates de visualiser des données sensibles, d’obtenir des privilèges élevés et de lancer des attaques de déni de service. Toujours en Avril, Adobe a distribué un correctif corrigeant les failles critiques d’Adobe Bridge, d’Adobe Illustrator et de la plate-forme de commerce électronique Magento. Si elles sont exploitées, les vulnérabilités les plus graves pourraient permettre l’exécution de code à distance sur les systèmes affectés.