Adobe corrige de nombreuses vulnérabilités dans 3 de ses produits
Date de publication :
L’éditeur Adobe a publié son bulletin de sécurité du mois de mai. Ce dernier corrige 87 vulnérabilités présentes sur plusieurs de ses produits, dont 50 sont jugées critiques et 37 jugées importantes. Ces vulnérabilités ont reçu une priorité évaluée par l'éditeur allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable. Ces vulnérabilités affectent 3 produits : Adobe Acrobat et Reader impacté par 84 d’entre elles, Adobe Flash Player par 1 et Adobe Media Encoder par 2. Windows et macOS sont les plateformes principalement impactées par ces correctifs, néanmoins les systèmes Linux sont également concernés par le correctif de sécurité lié à Adobe Flash Player.
L’exécution de code arbitraire, l’exécution de code arbitraire à distance ainsi que la divulgation d’informations sont les deux conséquences de l’exploitation de ces vulnérabilités. Il n’existe pas de démonstration de faisabilité de l’exploitation pour ces vulnérabilités et aucune d’entre elle n’aurait été exploitée pour l’instant.
Détails techniques :
Il corrige également 48 vulnérabilités critiques permettant l’exécution de code arbitraire :
Adobe Acrobat et Reader
L’ensemble des vulnérabilités corrigées pour Adobe Acrobat et Reader concerne les plateformes Windows et macOS uniquement. Le correctif corrige 36 vulnérabilités de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.
- CVE-2019-7804 [CVSS V3 9.8], CVE-2019-7825, CVE-2019-7822, CVE-2019-7818, CVE-2019-7829etCVE-2019-7800 [CVSS V3 8.8] : Ecriture en dehors des limites de la mémoire.
CVE-2019-7820 [CVSS V3 8.8] : Confusion de type ; des objets sont mal interprétés menant à de possibles exécutions de code malveillant.
CVE-2019-7759àCVE-2019-7768 [CVSS V3 le plus important : 9.8], CVE-2019-7805 à CVE-2019-7809 [CVSS V3 le plus important : 9.8], CVE-2019-7830àCVE-2019-7835 [CVSS V3 le plus important : 9.8] et 15 autres : Utilisation de mémoire après libération de celle-ci.
CVE-2019-7828etCVE-2019-7827 [CVSS V3 8.8] : Dépassement de tas ; il s’agit d’écrire en dehors de la mémoire allouée.
CVE-2019-7824 [CVSS V3 8.8] : Erreur de tampon ; permet à un attaquant d’écrire en dehors du tampon mémoire alloué.
CVE-2019-7784 [CVSS V3 9.8] : Libération double de la mémoire ; cela cause une corruption mémoire pouvant permettre à l’attaquant d’exécuter du code arbitrairement.
CVE-2019-7779 [CVSS V3 9.8] : Contournement de sécurité.
Adobe Flash Player
La vulnérabilité corrigée pour Adobe Flash Player concerne les plateformes Windows, macOS et Linux. Le correctif corrige une vulnérabilité de sévérité critique ayant pour impact l’exécution arbitraire de code :
- CVE-2019-7837 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.
Adobe Media Encoder
L’ensemble des vulnérabilités corrigées pour Adobe Media Encoder concerne uniquement les plateformes Windows et macOS. Le correctif corrige une vulnérabilité de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.
Il corrige également une vulnérabilité critique permettant l’exécution de code à distance :
- CVE-2019-7842 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire
Exécution de code arbitraire à distance
Atteinte à la confidentialité des données
Criticité
-
Score CVSS : 9.8
Existence d’un code d’exploitation de la vulnérabilité
-
Aucun code d'exploitation n'a été diffusé.
Composants & versions vulnérables
-
Acrobat DC : 2019.010.20100 et versions précédentes (Windows et macOS)
Acrobat Reader DC : 2019.010.20099 et versions précédentes (Windows et macOS)
Acrobat 2017 : 2017.011.30140 et versions précédentes (Windows et macOS)
Acrobat Reader 2017 : 2017.011.30138 et versions précédentes (Windows et macOS)
Acrobat DC 2015 : 2015.006.30495 et versions précédentes (Windows et macOS)
Acrobat Reader DC 2015 : 2015.006.30493 et versions précédentes (Windows et macOS)
Adobe Flash Player Desktop Runtime : 32.0.0.171 et versions précédentes (Windows, Linux et macOS)
Adobe Flash Player for Google Chrome : 32.0.0.171 et versions précédentes (Windows, Linux, Chrome OS et macOS)
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 : 32.0.0.171 et versions précédentes (Windows 10 et 8.1)
Adobe Media Encoder : 13.0.2 (Windows et macOS)
TAGS
CVE
- CVE-2019-7140
CVE-2019-7141
CVE-2019-7142
CVE-2019-7143
CVE-2019-7144
CVE-2019-7145
CVE-2019-7758
CVE-2019-7759
CVE-2019-7760
CVE-2019-7761
CVE-2019-7762
CVE-2019-7763
CVE-2019-7764
CVE-2019-7765
CVE-2019-7766
CVE-2019-7767
CVE-2019-7768
CVE-2019-7769
CVE-2019-7770
CVE-2019-7771
CVE-2019-7772
CVE-2019-7773
CVE-2019-7774
CVE-2019-7775
CVE-2019-7776
CVE-2019-7777
CVE-2019-7778
CVE-2019-7779
CVE-2019-7780
CVE-2019-7781
CVE-2019-7782
CVE-2019-7783
CVE-2019-7784
CVE-2019-7785
CVE-2019-7786
CVE-2019-7787
CVE-2019-7788
CVE-2019-7789
CVE-2019-7790
CVE-2019-7791
CVE-2019-7792
CVE-2019-7793
CVE-2019-7794
CVE-2019-7795
CVE-2019-7796
CVE-2019-7797
CVE-2019-7798
CVE-2019-7799
CVE-2019-7800
CVE-2019-7801
CVE-2019-7802
CVE-2019-7803
CVE-2019-7804
CVE-2019-7805
CVE-2019-7806
CVE-2019-7807
CVE-2019-7808
CVE-2019-7809
CVE-2019-7810
CVE-2019-7811
CVE-2019-7812
CVE-2019-7813
CVE-2019-7814
CVE-2019-7817
CVE-2019-7818
CVE-2019-7819
CVE-2019-7820
CVE-2019-7821
CVE-2019-7822
CVE-2019-7823
CVE-2019-7824
CVE-2019-7825
CVE-2019-7826
CVE-2019-7827
CVE-2019-7828
CVE-2019-7829
CVE-2019-7830
CVE-2019-7831
CVE-2019-7832
CVE-2019-7833
CVE-2019-7834
CVE-2019-7835
CVE-2019-7836
CVE-2019-7837
CVE-2019-7841
CVE-2019-7842
CVE-2019-7844
Solutions ou recommandations
Mise en place de correctif de sécurité
- Adobe a publié une mise à jour corrigeant ces vulnérabilités sur les produits et les plateformes concernés.
Solution de contournement
- Aucune solution de contournement n'a été proposée.