Adobe a patché 18 failles dans 10 logiciels différents

Adobe a déployé 18 correctifs de sécurité dans 10 logiciels différents, y compris des correctifs pour les vulnérabilités critiques qui s’étendent à l’ensemble de sa suite de produits. Adobe Illustrator a été le plus durement touché.

Il y a 16 failles critiques, qui permettent toutes l’exécution de code arbitraire dans le contexte de l’utilisateur actuel. Ces failles concernent Adobe Illustrator, Adobe Animate, Adobe After Effects, Adobe Photoshop, Adobe Premiere Pro, Adobe Media Encoder, Adobe InDesign et l’application de bureau Adobe Creative Cloud.

Adobe a également corrigé deux vulnérabilités importantes, dans Dreamweaver et Marketo Sales Insight Salesforce.

De nombreuses failles concernent des éléments de chemin de recherche incontrôlés, mais il existe également des vulnérabilités de dépassement, des vulnérabilités de corruption de la mémoire et une faille de script intersite (XSS).

adobe

Les vulnérabilités d’exécution de code arbitraire sont particulièrement néfastes étant donné qu’elles permettent aux attaquants d’exécuter directement du code malveillant sur les systèmes exploités. Couplé au fait que ces vulnérabilités se trouvent dans des technologies critiques telles que Marketo et la plupart des applications Adobe Creative Cloud, cela pourrait exposer des données marketing sensibles et des adresses IP à la destruction ou au vol d’IP par des adversaires potentiels. Les organisations devraient agir pour corriger rapidement ces vulnérabilités afin de minimiser l’exposition et de maintenir un niveau élevé de cyber-hygiène.

Patchs critiques d’Adobe

Illustrator contient 7 failles affectant Illustrator 2020 sur Windows, versions 24.2 et antérieures.

Deux des problèmes sont des failles de lecture hors limites (CVE-2020-24409, CVE-2020-24410); l’un est une faille d’écriture hors limites (CVE-2020-24411). Tran Van Khang, chercheur collaborant avec Trend Micro Zero Day Initiative, est crédité pour ces découvertes de failles.

«Toutes ces vulnérabilités se produisent dans le cadre du traitement des fichiers PDF par Illustrator», a déclaré Dustin Childs, responsable des communications pour l’initiative Zero Day de Trend Micro. «Dans les trois cas, un attaquant peut exploiter les vulnérabilités pour exécuter du code dans le contexte du processus actuel.»

Pour les failles de lecture hors limites, «Illustrator ne valide pas correctement les données fournies par l’utilisateur, ce qui peut entraîner une lecture au-delà de la fin d’une structure allouée», a-t-il expliqué.

Pendant ce temps, la faille d’écriture hors limites «se produit parce qu’Illustrator ne valide pas correctement les données fournies par l’utilisateur, ce qui peut entraîner une écriture au-delà de la fin d’une structure allouée», a déclaré Childs.

adobe

Les quatre autres failles d’Illustrator sont dus à une corruption de mémoire (CVE-2020-24412, CVE-2020-24413, CVE-2020-24414, CVE-2020-24415), et Honggang Ren de FortiGuard Labs de Fortinet a été crédité pour la découverte de ces 4 bugs.

Ren est également crédité pour avoir trouvé une faille de lecture hors limites (CVE-2020-24418) dans After Effects sur Windows (versions 17.1.1 et antérieures).

Pendant ce temps, Animate pour Windows (versions 20.5 et antérieures) contient une faille double-free (CVE-2020-9747), un problème de dépassement de tampon sur la pile (CVE-2020-9748) et deux lectures hors limites (CVE-2020-9749 et CVE-2020-9750).

Kexu Wang de FortiGuard Labs est reconnu pour avoir déniché ces vulnérabilités. Wang est également crédité pour avoir trouvé une faille de corruption de mémoire (CVE-2020-24421) affectant InDesign sur Windows (versions 15.1.2 et antérieures).

Pendant ce temps, Hou JingYi de Qihoo 360 CERT a trouvé quatre failles critiques d’éléments de chemin de recherche incontrôlés, notamment dans:

  • After Effects (CVE-2020-24419)
  • les versions Windows de Photoshop CC 2019, 20.0.10 et versions antérieures; et Photoshop 2020, 21.2.2 et versions antérieures (tous deux identifiés comme CVE-2020-24420)
  • Premiere Pro pour Windows, 14.4 et versions antérieures (CVE-2020-24424)
  • Media Encoder pour Windows, 14.4 et versions antérieures (CVE-2020-24423)

Les utilisateurs peuvent mettre à jour leurs installations logicielles via le programme de mise à jour de l’application de bureau Creative Cloud, ou en accédant au menu Aide de l’application et en cliquant sur “Mises à jour”.

En parlant de Creative Cloud, l’installateur d’application de bureau Creative Cloud pour Windows (versions 5.2 et antérieures pour l’ancien produit et versions 2.1 et antérieures pour le nouveau programme d’installation) contient également une faille d’élément de chemin de recherche incontrôlé (CVE-2020-24422). Cette dernière a été découverte par Dhiraj Mishra.

Autres failles

Adobe Dreamweaver 20.2 et les versions antérieures pour Windows et macOS contiennent une faille d’élément de chemin de recherche non contrôlé qui pourrait permettre une élévation de privilèges (CVE-2020-24425). La faille affecte également les dépendances de libCURL dans Dreamweaver 20.1 et versions antérieures.

Xavier DANEST de Decathlon a été crédité pour cette découverte.

De plus, Marketo Sales Insight Salesforce, 1.4355 et versions antérieures, contient une vulnérabilité XSS qui permet l’exécution de JavaScript dans le navigateur (CVE-2020-24416). Ceci a été découvert par Aditya Sharma et Shivam Kamboj Dattana de Root Fix.

Ces correctifs font suite à la divulgation d’une seule vulnérabilité en Octobre dans le cadre des correctifs régulièrement programmés d’Adobe (nettement moins que les 18 failles corrigées lors de la mise à jour régulière de Septembre).

C’était une faille critique dans son application Flash Player pour les utilisateurs des systèmes d’exploitation Windows, macOS, Linux et ChromeOS (CVE-2020-9746). Si elle est exploitée avec succès, cette vulnérabilité pourrait conduire à un crash exploitable, pouvant entraîner l’exécution de code arbitraire dans le contexte de l’utilisateur actuel, selon Adobe.

Ce mois-ci également, Adobe a annoncé 2 failles critiques (CVE-2020-24407 et CVE-2020-24400) dans Magento – la plate-forme de commerce électronique d’Adobe qui est généralement ciblée par des attaquants comme le groupe cybercriminel Magecart. Ces failles permettaient l’exécution de code arbitraire ainsi que l’accès en lecture ou en écriture à la base de données.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x