Adobe a révélé des failles critiques d’exécution de code

Adobe a distribué ses mises à jour de sécurité prévues pour le mois de Juillet 2020. Ces vulnérabilités concernent cinq produits différents: Creative Cloud Desktop, Media Encoder, Download Manager, Genuine Service et ColdFusion.

Parmi ces failles, 4 sont jugées comme étant critiques en terme de gravité, les autres étant classées comme importantes. La plupart des failles importantes impliquent une élévation des privilèges, les failles critiques ouvrent la porte à des attaques plus dangereuses.

«Les mises à jour d’Adobe Download Manager et de Media Encoder corrigent des vulnérabilités critiques (CVE-2020-9688, 9646 et 9650) qui pourraient conduire à l’exécution arbitraire de code», a déclaré Justin Knapp, responsable marketing chez Automox. «La quatrième vulnérabilité critique (CVE-2020-9682) a un impact sur Creative Cloud Desktop et, si elle est exploitée, pourrait permettre à un attaquant de créer ou de modifier des fichiers.»

Creative Cloud Desktop

Adobe a publié des correctifs pour quatre failles différentes dans son application Creative Cloud Desktop pour Windows, y compris une faille critique permettant des écritures arbitraires dans le système de fichiers.

Creative Cloud est une suite d’applications et de services pour la création et le traitement de vidéos, de design, de photographie et d’art Web. Les versions concernées du produit incluent Creative Cloud Desktop Application 5.1 et les versions antérieures, a noté Adobe dans sa mise à jour de sécurité mensuelle.

La faille critique est une vulnérabilité de lien symbolique (symlink) (CVE-2020-9682) qui pourrait permettre à un attaquant qui réussirait son exploit de créer ou de modifier un fichier dans un emplacement auquel il ne pourrait normalement pas accéder. Les liens symboliques sont des raccourcis vers d’autres fichiers.

«Bien qu’il s’agisse d’une vulnérabilité critique, Adobe l’a classée comme une faille de niveau 2, ce qui signifie que ces systèmes pourraient présenter un risque accru à cause de leur passé, mais encore une fois pour cette vulnérabilité particulière, il n’y a pas d’exploits connus actuellement», a déclaré Jimmy Graham, directeur principal de la gestion des produits, après avoir examiné l’avis de sécurité.

adobe

Les patchs corrigent également trois failles de sécurité importantes, qui pourraient toutes conduire à une élévation de privilèges dans le contexte de l’utilisateur actuel. La faille identifiée comme CVE-2020-9669 est due à un manque d’atténuation des exploits; CVE-2020-9671 est causé par des autorisations de fichiers non sécurisées; et CVE-2020-9670 est une autre vulnérabilité de lien symbolique moins grave.

Des remerciements pour avoir découvert ces failles ont été adressés à Xavier Danest de Decathlon (CVE-2020-9671) et Zhongcheng Li de Topsec Alpha Team (CVE-2020-9669, CVE-2020-9670 et CVE-2020-9682).

Media Encoder

Adobe a également déployé une mise à jour pour Adobe Media Encoder sur Windows, notamment pour la version 14.2 et les versions antérieures. Media Encoder fait partie de la suite de montage vidéo d’Adobe et est responsable de la conversion des fichiers vidéo au format approprié pour garantir leur bonne lecture sur différents types d’appareils.

L’avis aborde deux failles critiques d’écriture hors limites (CVE-2020-9650 et CVE-2020-9646) qui pourraient conduire à l’exécution de code arbitraire; et une importante lecture hors limites (CVE-2020-9649) qui pourrait permettre la divulgation d’informations dans le contexte de l’utilisateur actuel.

«À eux seuls, les exploits d’exécution de code arbitraire ont une portée limitée aux privilèges du processus affecté, mais lorsqu’ils sont combinés avec des vulnérabilités d’élévation de privilèges, ils peuvent permettre à un attaquant d’élever rapidement les privilèges d’un processus et d’exécuter du code sur le système cible en donnant à l’attaquant un contrôle total sur l’appareil », a déclaré Knapp.

Adobe a crédité Trend Micro Zero Day Initiative pour avoir découvert et signalé ces vulnérabilités.

Download Manager

Parmi les correctifs de sécurité, il y a également un correctif pour une vulnérabilité critique qui pourrait conduire à l’exécution de code arbitraire dans Adobe Download Manager pour Windows. La faille (CVE-2020-9688) affecte la version 2.0.0.518 du logiciel.

Ce problème de sécurité permet l’injection de commandes en cas d’exploitation, ce qui pourrait finalement ouvrir la porte à l’exécution de code arbitraire.

Le chercheur en sécurité Dhiraj Mishra (@RandomDhiraj) a signalé le bug.

Genuine Service

Adobe Genuine Service pour Windows et macOS est un logiciel qui vérifie périodiquement les logiciels Adobe déjà installés pour éliminer les licences incorrectes et invalides, ainsi que les logiciels piratés. 3 failles de sécurité ont été découvertes dans Genuine Service.

Elles pourraient toutes conduire à une élévation de privilèges dans le contexte de l’utilisateur actuel. Il y’a deux failles de chargement de bibliothèque non sécurisés (CVE-2020-9667 et CVE-2020-9681); et la dernière est le résultat d’une mauvaise gestion des liens symboliques (CVE-2020-9668)

Ces vulnérabilités affectent les versions 6.6 et les versions antérieures de Genuine Service, selon Adobe.

Adobe a crédité Adrian Denkiewicz de CQURE (CVE-2020-9667) et Li de Topsec Alpha Team (CVE-2020-9668, CVE-2020-9681) pour ces découvertes.

Adobe Coldfusion

Et pour finir, Adobe a également déployé des correctifs pour plusieurs vulnérabilités importantes dans ColdFusion 2016 (versions 15 et antérieures) et 2018 (versions 9 et antérieures). ColdFusion est une plate-forme populaire qui permet de créer et déployer des applications Web et mobiles.

Deux CVE concernent des failles permettant le détournement de l’ordre de recherche de DLL, conduisant à une élévation de privilèges (CVE-2020-9672 et CVE-2020-9673). Les failles ont été signalées par Nuttakorn Tungpoonsup et Ammarit Thongthua de l’équipe de recherche de Secure D Center, ainsi que par Sittikorn Sangrattanapitak, un chercheur indépendant en cyber-sécurité.

adobe

Cette mise à jour du mois de Juillet est légère par rapport à la quantité habituelle de correctifs de sécurité mensuels d’Adobe, mais cela peut être dû au fait que la société a publié une mise à jour pour 18 vulnérabilités critiques à la mi-juin. Celles-ci ont eu un impact sur une multitude de produits clés, notamment Adobe After Effects, Illustrator, Premiere Pro, Premiere Rush et Audition. Avec des exploits réussis, ces failles permettraient aux attaquants d’exécuter du code arbitraire.

Les administrateurs doivent néanmoins appliquer ces correctifs de sécurité du mois de Juillet dès que possible.

Si cet article vous a plu, jetez un œil à notre article précédent.