Adobe a patché 3 vulnérabilités critiques dans ses produits

Adobe Systems a éliminé les failles de gravité critique dans ses applications Prelude, Experience Manager et Lightroom. Si elles sont exploitées, ces vulnérabilités graves pourraient conduire à l’exécution de code arbitraire.

Dans l’ensemble, Adobe a publié des correctifs pour les failles liées à un CVE de niveau important et à trois CVE de gravité critique, lors de ses mises à jour de sécurité régulière du mois de Décembre. Les mises à jour font suite aux correctifs de Novembre où la société a corrigé des failles de gravité critique liées à quatre CVE dans les versions Windows et macOS de sa famille de services logiciels d’application Acrobat et Reader.

« Adobe n’a pas connaissance d’exploits dans la nature pour l’un des problèmes résolus dans ces mises à jour », selon la mise à jour de sécurité d’Adobe.

Les correctifs de ce mois-ci comprenait une vulnérabilité critique de script intersite (XSS) dans Adobe Experience Manager (AEM), la solution de gestion de contenu d’entreprise pour la création de sites Web, d’applications mobiles et de formulaires. Si elle est exploitée, la vulnérabilité (CVE-2020-24445) pourrait permettre à un individu malveillant d’exécuter du JavaScript arbitraire sur le navigateur de la victime.

AEM CS, AEM 6.5.6.0 et versions antérieures, AEM 6.4.8.2 et versions antérieures et AEM 6.3.3.8 et versions antérieures sont affectés. Les utilisateurs d’AEM peuvent effectuer une mise à jour vers les versions AEM corrigées ci-dessous. La mise à jour est une «priorité 2» qui, selon Adobe, résout les failles d’un produit qui «a toujours été à haut risque» – mais pour lequel il n’y a actuellement aucun exploit connu.

adobe

Une faille de gravité importante existe également dans AEM (CVE-2020-24444), cette faille provient de la falsification de requête côté serveur (SSRF). SSRF se produit lorsqu’une application peut être manipulée pour émettre une requête HTTP d’arrière-plan vers une URL fournie, mais que la réponse de la requête d’arrière-plan n’est pas renvoyée dans la réponse frontale de l’application. Ce problème peut entraîner la divulgation de données sensibles.

Adobe a également corrigé une vulnérabilité critique dans son logiciel Lightroom Classic pour Windows et macOS, qui, si elle était exploitée, pourrait permettre l’exécution de code arbitraire dans le contexte de l’utilisateur actuel. Lightroom Classic est une application de bureau permettant la retouche photo.

La faille provient d’un élément de chemin de recherche non contrôlé dans Lightroom Classic, version 10.0 et antérieure de Windows. Un chemin de recherche non contrôlé est une faille qui se produit lorsque les applications utilisent des chemins de recherche fixes pour trouver des ressources – mais qu’un ou plusieurs emplacements du chemin sont sous le contrôle d’un utilisateur malveillant. Dans le cas de cette faille (CVE-2020-24447) dans Lightroom Classic, le problème pourrait permettre l’exécution de code arbitraire.

Adobe a recommandé aux utilisateurs de Lightroom Classic sur les plates-formes Windows et MacOS de passer à la version 10.1. Cette mise à jour est de «priorité 3», ce qui signifie qu’elle existe dans un produit qui «n’a historiquement pas été la cible des attaquants».

«Adobe recommande aux administrateurs d’installer la mise à jour à leur discrétion», selon le communiqué de la société américaine.

adobe

Une dernière vulnérabilité critique a été corrigée dans Prelude, l’outil de journalisation d’Adobe pour le marquage des médias avec des métadonnées pour la recherche, les flux de travail de post-production et la gestion du cycle de vie des séquences. Cette vulnérabilité est un autre chemin de recherche non contrôlé (CVE-2020-24440) qui affecte Adobe Prelude version 9.0.1 et antérieure pour Windows. Si elle est exploitée, la faille pourrait permettre l’exécution de code arbitraire.

Les utilisateurs sont invités à effectuer une mise à jour vers la version 9.0.2 d’Adobe Prelude pour Windows et macOS dans ce qu’Adobe décrit comme étant une mise à jour de «priorité 3».

Récents correctifs d’Adobe

Adobe Systems a traité divers problèmes de sécurité au cours des derniers mois. En Octobre, après avoir mis en garde contre une vulnérabilité critique dans son application Flash Player pour les utilisateurs des systèmes d’exploitation Windows, macOS, Linux et ChromeOS, Adobe a publié 18 correctifs de sécurité hors bande dans 10 logiciels différents, y compris des correctifs pour les vulnérabilités critiques qui s’étendent à travers sa gamme de produits. Adobe Illustrator a été le plus durement touché.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x