Adobe patch des failles de sécurité dans Flash et Framemaker

Adobe a distribué des patchs corrigeant une vague de failles critiques dans ses produits Framemaker et Flash Player, qui, s’ils étaient exploités, pourraient conduire à l’exécution de code arbitraire.

Au total, Adobe a corrigé 42 failles de sécurité pour ses mises à jour régulières du mois de Février, parmi ces failles, 35 sont considérées comme étant critiques. Un peu plus que pour la mise à jour de sécurité du mois de Janvier qui corrigeait globalement neuf vulnérabilités, y compris celles d’Adobe Illustrator CC et d’Adobe Experience Manager.

Détails de la mise à jour d’Adobe de Février 2020

Adobe Framemaker, un traiteur de documents conçu pour créer et modifier des documents volumineux ou complexes, y compris des documents structurés, a subi le plus gros des correctifs de ce mois-ci avec 21 failles critiques.

“Cette mise à jour corrige plusieurs vulnérabilités critiques”, selon Adobe. “Une exploitation réussie pourrait conduire à l’exécution de code arbitraire dans le contexte de l’utilisateur actuel.”

Les failles de Framemaker sont causées par:

  • des erreurs de tampon ou de restrictions incorrectes des opérations dans les limites du tampon de la mémoire (CVE-2020-3734)
  • des débordements de tas, qui sont un type de débordement de tampon qui se produit dans la zone de données de tas (CVE-2020-3731, CVE-2020-3735)
  • des problèmes de corruption de mémoire qui résultent d’un changement inattendu dans le contenu d’un emplacement de mémoire (CVE-2020-3739, CVE-2020-3740)
  • les défauts d’écriture hors limites (OOB), qui sont des opérations d’écriture qui produisent ensuite des résultats indéfinis ou inattendus (CVE-2020-3720, CVE-2020-3721, CVE-2020-3722, CVE-2020-3723, CVE- 2020-3724, CVE-2020-3725, CVE-2020-3726, CVE-2020-3727, CVE-2020-3728, CVE-2020-3729, CVE-2020-3730, CVE-2020-3732, CVE-2020- 3733, CVE-2020-3736, CVE-2020-3737, CVE-2020-3738)

Les versions d’Adobe Framemaker 2019.0.4 et antérieures (pour Windows) sont affectées. Un correctif existe dans la version 2019.0.5.

Adobe Flash Player, quant à lui, était concerné par une faille de confusion de type critique (CVE-2020-3757) qui pourrait permettre l’exécution de code arbitraire “dans le contexte de l’utilisateur actuel”. Les produits concernés incluent le runtime de bureau Adobe Flash Player (pour Windows, macOS et Linux), Flash Player sur Google Chrome (Windows, macOS, Linux et Chrome OS) et Flash Player pour Microsoft Edge et IE 11 (sur Windows 10 et 8.1).

adobe

Les utilisateurs sont invités à effectuer la mise à jour vers la version 32.0.0.330 dans une mise à jour de «priorité 2», ce qui signifie que la mise à jour corrige les vulnérabilités d’un produit qui était historiquement à haut risque. Ce niveau de priorité est logique car Flash est connu pour être la cible préférée des cyberattaques, en particulier pour les kits d’exploitation, les attaques zero-day et les tentatives d’hameçonnage.

Adobe a pour sa part annoncé en juillet 2017 qu’il ne mettra plus à jour ni ne distribuera Flash Player à la fin de l’année 2020, ce qui amènera les navigateurs à désactiver la prise en charge par défaut de Flash Player. Par exemple, Mozilla a annoncé qu’il supprimera la prise en charge par défaut d’Adobe Flash dans Firefox 69, tandis que Google a supprimé la prise en charge de Flash par défaut dans Chrome 76.

Adobe Acrobat et Reader, le logiciel d’application et de services Web d’Adobe, étaient vulnérables à des failles critiques liées à 12 CVE, dont une faille de débordement de tas permettant l’exécution de code arbitraire (CVE-2020-3742), un problème d’erreur de tampon permettant l’exécution de code arbitraire (CVE-2020 -3752 et CVE-2020-3754), des erreurs use-after-free (qui se produisent lorsqu’un programme continue d’utiliser un pointeur après qu’il ait été libéré) permettant l’exécution de code arbitraire (CVE-2020-3743, CVE-2020-3745, CVE- 2020-3746, CVE-2020-3748, CVE-2020-3749, CVE-2020-3750, CVE-2020-3751) et des failles d’élévation de privilèges qui pourraient permettre la modification arbitraire du système de fichiers (CVE-2020-3762 et CVE-2020 -3763).

adobe

Acrobat et Reader comportaient également trois failles de divulgation d’informations importantes et deux vulnérabilités de fuites de mémoire modérées. Les utilisateurs sont invités à mettre à jour en installant les versions patchées (voir le tableau ci-dessus pour les versions mises à jour).

Adobe Digital Editions, le logiciel de lecture de livres électroniques d’Adobe, est également concerné par une faille critique et importante dans les versions 4.5.10 et antérieures. La faille critique provient d’un problème d’injection de commande (CVE-2020-3760) rendant les systèmes affectés vulnérables à l’exécution de code arbitraire. Les attaques par injection de commandes sont possibles lorsqu’une application transmet des données non sécurisées fournies par l’utilisateur (telles que des formulaires ou des en-têtes HTTP) au shell du système.

La faille importante est une erreur de tampon (CVE-2020-3759) permettant la divulgation d’informations. Les utilisateurs sont invités à mettre à jour vers la version 4.5.11 sur Windows.

Enfin, Adobe Experience Manager (AEM), la solution de gestion de contenu pour la création de sites Web, présente une vulnérabilité de consommation de ressources incontrôlée de niveau important (CVE-2020-3741) qui pourrait causer une condition de déni de service.

Adobe a déclaré que les failles patchées n’étaient pas activement exploitées par des pirates informatiques.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x