Adobe corrige de nombreuses vulnérabilités dans 3 de ses produits
Date de publication :
L’éditeur Adobe a publié son bulletin de sécurité du mois de mai. Ce dernier corrige 87 vulnérabilités présentes sur plusieurs de ses produits, dont 50 sont jugées critiques et 37 jugées importantes. Ces vulnérabilités ont reçu une priorité évaluée par l'éditeur allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable. Ces vulnérabilités affectent 3 produits : Adobe Acrobat et Reader impacté par 84 d’entre elles, Adobe Flash Player par 1 et Adobe Media Encoder par 2. Windows et macOS sont les plateformes principalement impactées par ces correctifs, néanmoins les systèmes Linux sont également concernés par le correctif de sécurité lié à Adobe Flash Player.
L’exécution de code arbitraire, l’exécution de code arbitraire à distance ainsi que la divulgation d’informations sont les deux conséquences de l’exploitation de ces vulnérabilités. Il n’existe pas de démonstration de faisabilité de l’exploitation pour ces vulnérabilités et aucune d’entre elle n’aurait été exploitée pour l’instant.
Détails techniques :
Il corrige également 48 vulnérabilités critiques permettant l’exécution de code arbitraire :
Adobe Acrobat et Reader
L’ensemble des vulnérabilités corrigées pour Adobe Acrobat et Reader concerne les plateformes Windows et macOS uniquement. Le correctif corrige 36 vulnérabilités de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.
- CVE-2019-7804 [CVSS V3 9.8], CVE-2019-7825, CVE-2019-7822, CVE-2019-7818, CVE-2019-7829etCVE-2019-7800 [CVSS V3 8.8] : Ecriture en dehors des limites de la mémoire.
- CVE-2019-7820 [CVSS V3 8.8] : Confusion de type ; des objets sont mal interprétés menant à de possibles exécutions de code malveillant.
- CVE-2019-7759àCVE-2019-7768 [CVSS V3 le plus important : 9.8], CVE-2019-7805 à CVE-2019-7809 [CVSS V3 le plus important : 9.8], CVE-2019-7830àCVE-2019-7835 [CVSS V3 le plus important : 9.8] et 15 autres : Utilisation de mémoire après libération de celle-ci.
- CVE-2019-7828etCVE-2019-7827 [CVSS V3 8.8] : Dépassement de tas ; il s’agit d’écrire en dehors de la mémoire allouée.
- CVE-2019-7824 [CVSS V3 8.8] : Erreur de tampon ; permet à un attaquant d’écrire en dehors du tampon mémoire alloué.
- CVE-2019-7784 [CVSS V3 9.8] : Libération double de la mémoire ; cela cause une corruption mémoire pouvant permettre à l’attaquant d’exécuter du code arbitrairement.
- CVE-2019-7779 [CVSS V3 9.8] : Contournement de sécurité.
Adobe Flash Player
La vulnérabilité corrigée pour Adobe Flash Player concerne les plateformes Windows, macOS et Linux. Le correctif corrige une vulnérabilité de sévérité critique ayant pour impact l’exécution arbitraire de code :
- CVE-2019-7837 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.
Adobe Media Encoder
L’ensemble des vulnérabilités corrigées pour Adobe Media Encoder concerne uniquement les plateformes Windows et macOS. Le correctif corrige une vulnérabilité de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.
Il corrige également une vulnérabilité critique permettant l’exécution de code à distance :
- CVE-2019-7842 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données
Criticité
- Score CVSS : 9.8
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d'exploitation n'a été diffusé.
Composants & versions vulnérables
- Acrobat DC : 2019.010.20100 et versions précédentes (Windows et macOS)
- Acrobat Reader DC : 2019.010.20099 et versions précédentes (Windows et macOS)
- Acrobat 2017 : 2017.011.30140 et versions précédentes (Windows et macOS)
- Acrobat Reader 2017 : 2017.011.30138 et versions précédentes (Windows et macOS)
- Acrobat DC 2015 : 2015.006.30495 et versions précédentes (Windows et macOS)
- Acrobat Reader DC 2015 : 2015.006.30493 et versions précédentes (Windows et macOS)
- Adobe Flash Player Desktop Runtime : 32.0.0.171 et versions précédentes (Windows, Linux et macOS)
- Adobe Flash Player for Google Chrome : 32.0.0.171 et versions précédentes (Windows, Linux, Chrome OS et macOS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 : 32.0.0.171 et versions précédentes (Windows 10 et 8.1)
- Adobe Media Encoder : 13.0.2 (Windows et macOS)
- TAGS
CVE
- CVE-2019-7140
- CVE-2019-7141
- CVE-2019-7142
- CVE-2019-7143
- CVE-2019-7144
- CVE-2019-7145
- CVE-2019-7758
- CVE-2019-7759
- CVE-2019-7760
- CVE-2019-7761
- CVE-2019-7762
- CVE-2019-7763
- CVE-2019-7764
- CVE-2019-7765
- CVE-2019-7766
- CVE-2019-7767
- CVE-2019-7768
- CVE-2019-7769
- CVE-2019-7770
- CVE-2019-7771
- CVE-2019-7772
- CVE-2019-7773
- CVE-2019-7774
- CVE-2019-7775
- CVE-2019-7776
- CVE-2019-7777
- CVE-2019-7778
- CVE-2019-7779
- CVE-2019-7780
- CVE-2019-7781
- CVE-2019-7782
- CVE-2019-7783
- CVE-2019-7784
- CVE-2019-7785
- CVE-2019-7786
- CVE-2019-7787
- CVE-2019-7788
- CVE-2019-7789
- CVE-2019-7790
- CVE-2019-7791
- CVE-2019-7792
- CVE-2019-7793
- CVE-2019-7794
- CVE-2019-7795
- CVE-2019-7796
- CVE-2019-7797
- CVE-2019-7798
- CVE-2019-7799
- CVE-2019-7800
- CVE-2019-7801
- CVE-2019-7802
- CVE-2019-7803
- CVE-2019-7804
- CVE-2019-7805
- CVE-2019-7806
- CVE-2019-7807
- CVE-2019-7808
- CVE-2019-7809
- CVE-2019-7810
- CVE-2019-7811
- CVE-2019-7812
- CVE-2019-7813
- CVE-2019-7814
- CVE-2019-7817
- CVE-2019-7818
- CVE-2019-7819
- CVE-2019-7820
- CVE-2019-7821
- CVE-2019-7822
- CVE-2019-7823
- CVE-2019-7824
- CVE-2019-7825
- CVE-2019-7826
- CVE-2019-7827
- CVE-2019-7828
- CVE-2019-7829
- CVE-2019-7830
- CVE-2019-7831
- CVE-2019-7832
- CVE-2019-7833
- CVE-2019-7834
- CVE-2019-7835
- CVE-2019-7836
- CVE-2019-7837
- CVE-2019-7841
- CVE-2019-7842
- CVE-2019-7844
Solutions ou recommandations
Mise en place de correctif de sécurité
- Adobe a publié une mise à jour corrigeant ces vulnérabilités sur les produits et les plateformes concernés.
Solution de contournement
- Aucune solution de contournement n'a été proposée.