Adobe a patché des failles d’exécution de code à distance

Adobe a corrigé 11 failles de sécurité critiques dans Acrobat et Reader, qui, si elles sont exploitées, pourraient permettre aux attaquants d’exécuter du code à distance ou d’éviter les fonctionnalités de sécurité de l’application.

Dans le cadre de ses mises à jour de sécurité régulièrement programmées, Adobe a corrigé des failles de gravité critiques et importantes liées à 26 CVE – toutes issues de sa populaire application de gestion de documents Acrobat et Reader – ainsi qu’à une CVE de gravité importante dans Adobe Lightroom, qui est son logiciel de manipulation d’images. Adobe a déclaré ne pas être au courant d’exploits dans la nature pour les vulnérabilités corrigées dans sa mise à jour.

L’une des failles critiques les plus graves est une vulnérabilité use-after-free (CVE-2020-9715) qui pourrait permettre à des attaquants distants d’exécuter du code arbitraire sur les installations affectées d’Adobe Acrobat Reader DC.

«La faille spécifique existe dans la gestion des objets de données ESObject», a déclaré Dustin Childs, responsable des communications pour l’initiative Zero Day de Trend Micro (qui a signalé la faille). «Le problème résulte du manque de validation de l’existence d’un objet avant d’effectuer des opérations sur l’objet. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus en cours. »

adobe

Une autre faille de gravité importante, CVE-2020-9697, semble exister depuis 13 ans, a déclaré Childs. La faille de «divulgation de données sensibles» pourrait exposer des informations de mémoire sensibles.

Adobe a également corrigé deux failles d’écriture hors limites critiques (CVE-2020-9693, CVE-2020-9694) qui pourraient permettre l’exécution de code arbitraire. L’une d’entre elle (CVE-2020-9693) existe dans l’analyse des images JPG2000. JPG2000 est un système de codage d’image qui utilise des tactiques de compression. Un attaquant pourrait persuader un utilisateur d’ouvrir un document PDF spécialement conçu et cette faille lui permettrait alors d’exécuter du code à distance, a déclaré Childs.

Deux autres failles critiques (CVE-2020-9696, CVE-2020-9712) pourraient permettre aux attaquants de contourner les fonctionnalités de sécurité de l’application. L’un de ces failles, CVE-2020-9712, pourrait permettre aux attaquants de contourner les mitigations d’analyse HTML dans Acrobat Pro DC: «Grâce à cela, un attaquant peut déclencher l’analyse de documents HTML à distance depuis Acrobat», a déclaré Childs.

adobe

Des correctifs ont également été apportés à cinq failles de tampon critiques (CVE-2020-9698, CVE-2020-9699, CVE-2020-9700, CVE-2020-9701, CVE-2020-9704) et une faille use-after-free (CVE-2020- 9722) qui pourrait permettre l’exécution de code.

Au-delà des failles de gravité critique, Adobe a également publié des correctifs pour 15 vulnérabilités importantes dans Acrobat et Reader. Celles-ci allaient des failles d’épuisement de la pile (CVE-2020-9702, CVE-2020-9703) qui pourraient permettre aux attaquants de lancer des attaques par déni de service d’application (DoS), à un problème de contournement de sécurité (CVE-2020-9714) qui ouvre la porte à l’élévation de privilèges. Onze vulnérabilités de lecture hors limites notés importantes (CVE-2020-9723, CVE-2020-9705, CVE-2020-9706, CVE-2020-9707, CVE-2020-9710, CVE-2020-9716, CVE- 2020-9717, CVE-2020-9718, CVE-2020-9719, CVE-2020-9720, CVE-2020-9721) ont également été abordées, ces dernières pourraient permettre la divulgation d’informations.

Mise à jour d’Adobe

Les versions concernées (pour Windows et macOS) incluent: Acrobat DC et Acrobat Reader DC Continuous (versions 2020.009.20074 et antérieures); Acrobat et Acrobat Reader Classic 2020 (version 2020.001.30002), Acrobat et Acrobat Reader Classic 2017 (versions 017.011.30171 et antérieures) et Acrobat et Acrobat Reader Classic 2015 (versions 2015.006.30523 et antérieures).

Les utilisateurs doivent s’assurer de mettre à jour vers les versions Acrobat DC/Reader version 2020.012.20041, Acrobat/Reader Classic 2020 version 2020.001.30005, Acrobat/Reader Classic 2017 version 2017.011.30175 et Acrobat/Reader Classic 2015 version 2015.006.30527. La mise à jour a une «priorité 2», ce qui, selon Adobe, signifie qu’elle corrige les vulnérabilités d’un produit qui a «historiquement été à haut risque», mais qu’il n’y a actuellement aucun exploit connu.

«En se basant sur notre expérience, nous ne prévoyons pas que des exploits soient imminents. Comme bonne pratique, Adobe recommande aux administrateurs d’installer la mise à jour rapidement (par exemple, dans les 30 jours) », selon les conseils d’Adobe.

Adobe a également corrigé une faille de chargement de bibliothèque non sécurisée (CVE-2020-9724) qui pouvait permettre une élévation de privilèges dans Lightroom Classic. Les utilisateurs sont invités à passer à la version 9.3 de Lightroom Classic.

Les mises à jour de sécurité de ce mois font suite à une série de failles corrigées le mois dernier. En Juillet, Adobe a distribué diverses mises à jour de sécurité planifiées couvrant les failles de cinq catégories de produits différents: Creative Cloud Desktop; Encodeur multimédia; Gestionnaire de téléchargement; Service authentique; et ColdFusion. Quatre de ces failles avaient été jugées critiques en termes de gravité, les autres étant classées comme importantes. Plus tard dans le mois, Adobe a déployé une série de correctifs pour des vulnérabilités critiques – y compris plusieurs failles critiques liées à son logiciel de retouche photo Photoshop, qui permettait aux pirates d’exécuter du code arbitraire sur des appareils Windows ciblés.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x