Adobe - CVE-2024-49530

Date de publication :

Un défaut de libération de la mémoire dans Adobe Acrobat permet à un attaquant non authentifié, en persuadant une victime d’ouvrir un fichier spécifiquement forgé, d’exécuter du code arbitraire avec les droits de la victime.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Exploitation

La vulnérabilité exploitée est du type
CWE-416: Use After Free

Détails sur l'exploitation
•    Vecteur d'attaque : Local
•    Complexité de l'attaque : Élevée
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Adobe Acrobat DC et Acrobat Reader DC versions antérieures à 24.005.20320
Adobe Acrobat 2024 versions antérieures à 24.001.30225
Adobe Acrobat 2020 et Acrobat Reader 2020 versions antérieures à 20.005.30748

Solutions ou recommandations

Mettre à jour Adobe Acrobat :
Acrobat DC et Acrobat Reader DC vers la version 24.005.20320 ou ultérieure.
Acrobat 2024 vers la version 24.001.30225 ou ultérieure.
Acrobat 2020 et Acrobat Reader 2020 vers la version 20.005.30748 ou ultérieure.

Des informations complémentaires sont disponibles dans le bulletin d’Adobe.