Adobe a patché 4 failles dans Flash Player et Framemaker

Adobe a publié des correctifs pour quatre failles critiques dans Flash Player et dans son  logiciel de composition et de mise en pages Framemaker dans le cadre de ses mises à jour régulières. Les failles de sécurité, si elles étaient exploitées, pourraient permettre l’exécution de code arbitraire.

Dans les mises à jour de sécurité d’Adobe du mois de Juin, des failles critiques liées à trois CVE ont été corrigées dans Adobe Framemaker, qui est l’application d’Adobe conçue pour écrire et modifier des documents volumineux ou complexes.

Les failles incluent deux failles d’écriture hors limites critiques (CVE-2020-9634, CVE-2020-9635), qui découlent d’opérations d’écriture qui produisent ensuite des résultats indéfinis ou inattendus. Francis Provencher travaillant avec Zero Day Initiative (ZDI) de Trend Micro a été crédité pour la découverte de ces failles d’exécution de code arbitraires.

adobe flash

Dustin Childs, responsable des communications chez ZDI de Trend Micro, a déclaré qu’un attaquant peut exploiter les deux failles pour exécuter du code dans le contexte du processus actuel. Il devra juste inciter un utilisateur à ouvrir un fichier spécial ou à visiter une page malveillante.

“Pour CVE-2020-9634, la faille spécifique existe dans l’analyse des fichiers GIF”, a déclaré Childs. «Le problème résulte du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture après la fin d’un objet alloué. Pour CVE-2020-9635, la faille spécifique est causée par l’analyse des fichiers PDF. Le problème résulte du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture avant le début d’un objet alloué. »

Adobe a également corrigé une vulnérabilité critique (CVE-2020-9636) résultant d’une corruption de la mémoire, où une tentative d’accès à la mémoire est effectuée après sa libération. Cela peut entraîner plusieurs choses, allant de la panne d’un programme, à potentiellement conduire à l’exécution de code arbitraire, ou même l’activation des capacités complètes d’exécution de code à distance. Honggang Ren de FortiGuard Labs a signalé cette faille.

Les versions d’Adobe Framemaker 2019.0.5 et inférieures pour Windows sont affectées. Les correctifs sont disponibles dans la version 2019.0.6.

Adobe Flash Player

Une faille use-after-free critique (CVE-2020-9633) a quant à elle été découverte dans Flash Player. Adobe Flash Player Desktop Runtime (Windows, macOS et Linux), Adobe Flash Player pour Google Chrome (Windows, macOS, Linux et Chrome OS) et Microsoft Edge/Internet Explorer 11 (Windows 10 et 8.1) sont concerné pour les versions 32.0 .0.330 et versions antérieures.

Les utilisateurs concernés sont invités à effectuer une mise à jour vers la version 32.0.0.387 dans une mise à jour de «priorité 2», qui, selon Adobe, «résout les vulnérabilités d’un produit qui était historiquement à haut risque», mais pour lequel il n’y a actuellement aucun exploit connu.

“Une exploitation réussie pourrait conduire à l’exécution de code arbitraire dans le contexte de l’utilisateur actuel”, a déclaré Adobe dans sa mise à jour.

Flash est connu pour être la cible préférée des cyberattaques, en particulier pour les kits d’exploitation, les attaques zero-day et les schémas d’hameçonnage. Il convient de noter qu’Adobe a annoncé en juillet 2017 son intention de mettre Flash en fin de vie, ce qui signifie qu’il ne mettra plus à jour ni ne distribuera Flash Player à la fin de cette année.

Autres failles d’Adobe

Adobe a également corrigé des failles liées à six failles de gravité importante dans Experience Manager, sa plateforme de gestion de contenu pour la création de sites Web, d’applications mobiles et de formulaires. Les versions 6.5 et antérieures sont affectées.

Parmi ces failles on trouve des problèmes de falsification de requêtes côté serveur (CVE-2020-9643 et CVE-2020-9645) qui pourraient permettre la divulgation d’informations sensibles et des vulnérabilités de script intersite (CVE-2020-9647, CVE-2020-9648, CVE-2020 -9651 et CVE-2020-9644) qui pourraient permettre l’exécution arbitraire de JavaScript dans le navigateur.

adobe

Pour toutes les failles de sa mise à jour du mois de Juin, Adobe a déclaré n’être au courant d’aucun exploit dans la nature. Ces mises à jour surviennent un mois après que Adobe ait corrigé 16 failles critiques dans ses applications Acrobat et Reader et dans son kit de développement logiciel Adobe Digital Negative (DNG) en Mai. Si elles sont exploitées, ces failles pourraient conduire à l’exécution de code à distance.

En Mai, Adobe a également distribué un patch pour une faille critique dans Character Animator, son application qui permet de créer des vidéos d’animation de capture de mouvement en direct. La faille peut être exploitée par un attaquant distant pour exécuter du code sur les systèmes affectés.