Adobe a patché 2 nouvelles failles de sécurité critiques

Adobe a publié des patchs imprévus pour deux vulnérabilités critiques qui, si elles sont exploitées, permettent à un pirate informatique d’exécuter du code à distance sur des appareils ciblés.

Les deux applications affectées par les failles critiques sont Adobe After Effects, une application d’effets visuels et d’animation graphique utilisée pour la production de films et la production de jeux vidéo en post-production, et Adobe Media Encoder, une application qui permet de répondre aux exigences de traitement multimédia pour l’audio et la vidéo.

«Les deux failles de sécurité peuvent être exploitées par un hacker distant non authentifié via Internet, et elles sont toutes les deux causées par« une erreur de limite lors du traitement des entrées non fiables », selon une analyse des failles de sécurité après leur révélation. «Un pirate informatique distant peut créer un fichier malveillant, inciter la victime à l’ouvrir à l’aide du logiciel concerné, provoquer une écriture hors limites et exécuter du code arbitraire sur le système ciblé.»

adobe patch

Adobe After Effects est vulnérable à une faille d’écriture hors limites (CVE-2020-3765), qui est causée par des opérations d’écriture qui produisent ensuite des résultats indéfinis ou inattendus. Cela pourrait permettre l’exécution de code arbitraire, selon la mise à jour d’Adobe. Les versions 16.1.2 et antérieures d’Adobe After Effects (pour Windows) sont affectées. Les utilisateurs doivent effectuer une mise à jour vers la version 17.0.3, disponible sur Windows et macOS.

Bien que la vulnérabilité soit critique en termes de gravité, la mise à jour a une note de priorité 3, qui, selon la compagnie américaine, «résout les vulnérabilités d’un produit qui, historiquement, n’a pas été la cible des pirates informatiques. Adobe recommande aux administrateurs d’installer la mise à jour. »

adobe

L’autre faille de sécurité, dans Adobe Media Encoder, est également une vulnérabilité critique d’écriture hors-limites (CVE-2020-3764) qui pourrait permettre l’exécution de code arbitraire. Les versions 14.0 et antérieures d’Adobe Media Encore (pour Windows) sont affectées; la version patchée est 14.0.2 (également dans une mise à jour de «priorité 3»).

“L’exploitation de Media Encoder est un scénario relativement simple”, a déclaré Dustin Childs, directeur de Zero Day Initiative de Trend Micro (qui a découvert la faille de scurité). «Le problème est causé par le manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture après la fin d’une structure allouée. Un hacker peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus en cours. »

Matt Powell (pour le CVE-2020-3765) et Francis Provencher (pour le CVE-2020-3764) de Zero Day Initiative de Trend Micro ont été crédités pour avoir découvert ces vulnérabilités. Adobe a déclaré qu’ils n’étaient pas au courant de campagne d’exploitation pour ces failles de sécurité.

Des failles d’Adobe patchées à l’extérieur du Patch Tuesday

Ces derniers patchs surviennent une semaine après qu’Adobe ait publié ses patchs régulièrement prévus pour Février, qui corrigeaient les failles liées à 42 CVE. Trente-cinq de ces failles étaient d’une gravité critique, y compris celles qui affectaient les produits Framemaker et Flash Player, qui, si elles étaient exploitées, pouvaient conduire à l’exécution de code arbitraire. Et, dans la mise à jour de sécurité d’Adobe de Janvier, ils ont corrigé neuf vulnérabilités au total, y compris celles d’Illustrator CC et d’ Experience Manager.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x