Une faille critique d’Adobe Character Animator a été patché

Adobe a distribué un patch pour une faille critique dans Adobe Character Animator, son application pour créer des vidéos d’animation de capture de mouvement en direct. La faille peut être exploitée par un attaquant distant pour exécuter du code sur les systèmes affectés.

La faille (CVE-2020-9586) se trouve dans les versions 3.2 et antérieures et existe dans l’analyse de l’élément BoundingBox dans PostScript. Plus précisément, la faille est causée par une erreur de dépassement de tampon sur la pile, ce qui signifie que l’élément n’a pas la validation appropriée de la longueur des données fournies par l’utilisateur avant de les copier dans un tampon sur la pile.

“Parmi les failles corrigées, CVE-2020-9586 se démarque car il pourrait y avoir une exécution de code si un utilisateur ouvre un fichier malveillant ou visite une page Web malveillante”, a déclaré Dustin Childs, directeur de Zero Day Initiative de Trend Micro. «Un pirate peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus actuel.»

Les utilisateurs sont invités à mettre à jour vers la version 3.3 sur Windows et macOS. Bien que la faille soit critique, le bulletin de sécurité est une mise à jour de priorité 3, qui, selon Adobe, corrige les vulnérabilités d’un produit qui, historiquement, n’a pas été la cible des pirates. «Adobe recommande aux administrateurs d’installer la mise à jour à leur discrétion», a déclaré la société américaine.

adobe

Adobe a également distribué plusieurs mises à jour corrigeant d’autres failles. Bien que ces autres vulnérabilités soient «importantes» en termes de gravité, elles doivent toutes être combinées avec des failles supplémentaires pour obtenir l’exécution de code, a déclaré Childs.

Une telle faille existe dans Adobe Premiere Rush, le logiciel de montage vidéo pour les créateurs de vidéos en ligne. Le logiciel présente une vulnérabilité de lecture hors limites (CVE-2020-9617) qui pourrait entraîner la divulgation d’informations. Les utilisateurs sont invités à mettre à jour vers Premiere Rush version 1.5.12 sur Windows et macOS.

adobe

Il existe une autre faille de gravité «importante» dans Adobe Premiere Pro, une autre version du logiciel de montage vidéo d’Adobe qui est plus avancée que Premiere Rush (qui est plutôt utilisé par les YouTubers et les créateurs sur les réseaux sociaux). Comme Premiere Rush, Premiere Pro présente une faille de lecture hors limites (CVE-2020-9616) qui pourrait conduire à la divulgation d’informations. Les utilisateurs peuvent mettre à jour vers la version 14.2 sur Windows et macOS.

Enfin, Adobe a corrigé une faille dans Audition, qui est son ensemble d’outils pour créer et éditer du contenu audio. La faille de lecture hors limites (CVE-2020-9618) peut permettre la divulgation d’informations si elle est exploitée. Un correctif est disponible dans Audition 13.0.6 sur Windows et macOS.

Pour toutes ces failles, «Adobe n’a connaissance d’aucun exploit dans la nature pour aucun des problèmes résolus dans ces mises à jour», selon l’alerte. Mat Powell de Zero Day Initiative a été crédité pour la découverte de ces failles.

Adobe patch et patch encore

Ces correctifs non planifiés surviennent une semaine après les mises à jour régulières d’Adobe, qui ont corrigé 16 failles critiques dans les applications Acrobat et Reader et son kit de développement logiciel Adobe Digital Negative (DNG). En tout, 36 vulnérabilités avaient été adréssées.