Adobe corrige plusieurs vulnérabilités critiques dans 8 de ses produits
Date de publication :
L’éditeur Adobe a publié son bulletin de sécurité du mois d’avril corrigeant 43 vulnérabilités présentes dans plusieurs ses produits, dont 24 sont jugées critiques, 18 importantes et 1 modérée. Les vulnérabilités ont reçu une priorité évaluée allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable. Ces vulnérabilités affectent 8 produits : Adobe Acrobat et Reader, Adobe Flash Player, Adobe Shockwave Player, Adobe Dreamweaver, Adobe XD, Adobe InDesign, Adobe Experience Manager Forms, Adobe Bridge CC. MacOS et Windows sont les plateformes principalement impactées par ce correctif, néanmoins les systèmes Linux sont également concernés par le correctif de sécurité lié à Adobe Flash Player et Adobe Experience Manager Forms.
L’exécution de code à distance permettant la prise de contrôle d’un système visé ainsi que la divulgation d’informations sont les deux conséquences liées à l’exploitation de ces vulnérabilités. Il n’existe pas de preuve de concept exploitant les vulnérabilités corrigées pour le moment ; d’après Adobe aucune d’entre elles n’aurait été exploitée.
Détails techniques :
Voici l’ensemble des vulnérabilités critiques classées par produit. Les scores CVSS ne sont pas encore disponibles.
Adobe Acrobat et Reader
L’ensemble des vulnérabilités critiques qui concernent Adobe Acrobat et Reader permettent l’exécution arbitraire de code. Plusieurs catégories d’attaque sont présentes et concernent les systèmes Windows et macOS :
- CVE-2019-7111, CVE-2019-7118, CVE-2019-7119, CVE-2019-7120 et CVE-2019-7124 [CVSS v3 7.8] : 5 sont dues à une écriture possible hors des limites de la mémoire.
CVE-2019-7117 et CVE-2019-7128 [CVSS v3 7.8]: 2 vulnérabilités sont des confusions de type : des objets sont mal interprétés menant à de possibles exécutions de code malveillant.
CVE-2019-7088 et CVE-2019-7112 [CVSS v3 7.8] : 2 vulnérabilités sont dues à l’accès à de la mémoire après libération de celle-ci.
CVE-2019-7113 et CVE-2019-7125 [CVSS v3 7.8] : 2 vulnérabilités sont dues à des dépassements de tas ; il s’agit d’écrire en dehors de la mémoire allouée.
Adobe Flash Player
Cette vulnérabilité concerne les systèmes Windows, macOS et Linux.
- CVE-2019-7096 [CVSS v3 8.8] [Critique] : Permet l’exécution arbitraire de code à travers l’accès à de la mémoire après libération de celle-ci.
Adobe Shockwave Player
Ces vulnérabilités concernent les systèmes Windows.
- CVE-2019-7098, CVE-2019-7099, CVE-2019-7100, CVE-2019-7101, CVE-2019-7102, CVE-2019-7103 [CVSS v3 7.8] et CVE-2019-7104 [CVSS v3 8.8] : L’ensemble des 7 vulnérabilités concernant Adobe Shockwave Player sont des vulnérabilités de sévérité critique permettant l’exécution arbitraire de code à travers une corruption mémoire.
Adobe XD
Ces vulnérabilités concernent les systèmes macOS.
- CVE-2019-7105 et CVE-2019-7106 [CVSS v3 8.8] [Critique] : Défaut permettant une attaque par parcours de chemins (« Path Traversal »), cela permet d’accéder à des ressources qui sont normalement hors de portée et ainsi d’exécuter du code.
Adobe Indesign
Cette vulnérabilité concerne les systèmes Windows et macOS.
- CVE-2019-7107 [CVSS v3 8.8] [Critique] : Permet l’exécution arbitraire de code à partir d’un traitement d’hyperliens non sécurisé.
Adobe Bridge CC
Cette vulnérabilité concerne les systèmes Windows et macOS.
- CVE-2019-7130 [CVSS v3 7.8][Critique] : Permet l’exécution arbitraire de code à partir d’un dépassement de tas.
CVE-2019-7132 [CVSS v3 7.8][Critique] : Permet l’exécution arbitraire de code à partir d’un accès en dehors de la mémoire allouée.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire
Atteinte à la confidentialité des données
Criticité
-
Score CVSS: 8.80
Existence d’un code d’exploitation de la vulnérabilité
Il n’existe pour le moment pas de preuve de concept exploitant les vulnérabilités corrigées ; d’après Adobe aucune d’entre elles n’aurait été exploitée.
Composants & versions vulnérables
-
Acrobat DC (Continuous) 2019.010.20098 et précédent
Acrobat Reader DC (Continuous) 2019.010.20098 et précédent
Acrobat 2017 (Classic 2017) 2017.011.30127 et précédent
Acrobat Reader 2017 (Classic 2017) 2017.011.30127 et précédent
Acrobat DC (Classic 2015) 2017.011.30127 et précédent
Acrobat Reader DC (Classic 2015) 2017.011.30127 et précédent
Adobe Flash Player Desktop Runtime 32.0.0.156 et précédent
Adobe Flash Player for Google Chrome 32.0.0.156 et précédent
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 32.0.0.156 et précédent
Adobe Shockwave Player 12.3.4.204 et précédent
Adobe Dreamweaver 19.0 et précédent
Adobe XD 16.0 et précédent
Adobe InDesign 14.0.1 et précédent
Adobe Experience Manager Forms 6.2, 6.3 et 6.4
Adobe Bridge CC 9.0.2
CVE
-
CVE-2019-7129
CVE-2019-7061
CVE-2019-7088
CVE-2019-7096
CVE-2019-7097
CVE-2019-7098
CVE-2019-7099
CVE-2019-7100
CVE-2019-7101
CVE-2019-7102
CVE-2019-7103
CVE-2019-7104
CVE-2019-7105
CVE-2019-7106
CVE-2019-7107
CVE-2019-7108
CVE-2019-7109
CVE-2019-7110
CVE-2019-7111
CVE-2019-7112
CVE-2019-7113
CVE-2019-7114
CVE-2019-7115
CVE-2019-7116
CVE-2019-7117
CVE-2019-7118
CVE-2019-7119
CVE-2019-7120
CVE-2019-7121
CVE-2019-7122
CVE-2019-7123
CVE-2019-7124
CVE-2019-7125
CVE-2019-7127
CVE-2019-7128
CVE-2019-7130
CVE-2019-7132
CVE-2019-7133
CVE-2019-7134
CVE-2019-7135
CVE-2019-7136
CVE-2019-7137
CVE-2019-7138
Solutions ou recommandations
Mise en place de correctif de sécurité
Des mises à jour pour les différents produits sont disponibles et couvrent l'ensemble des vulnérabilités présentées.
Solution de contournement
Adobe préconise de mettre à jour l'ensemble des produits affectés.
Liens
- Bulletin de sécurité Adobe Acrobat et Reader
- Bulletin de sécurité Adobe Flash Player
- Bulletin de sécurité Adobe Shockwave Player
- Bulletin de sécurité Adobe Dreamweaver
- Bulletin de sécurité Adobe XD
- Bulletin de sécurité Adobe InDesign
- Bulletin de sécurité Adobe Experience Manager Forms
- Bulletin de sécurité Adobe Bridge CC