Multiples vulnérabilités dans des produits Adobe
Date de publication :
Une confusion de type survient lorsqu’un programme alloue ou initialise une ressource à l'aide d'un type, puis accède ultérieurement à cette ressource à l'aide d'un type incompatible avec le type d'origine.
CVE-2022-34230, CVE-2022-34229, CVE-2022-34227, CVE-2022-34225, CVE-2022-34224, CVE-2022-34223, CVE-2022-34220, CVE-2022-34219, CVE-2022-34216[Score CVSS v3.1: 7.8]
Une erreur d'utilisation de données en mémoire après libération dans différents produits Adobe permet à un attaquant, en persuadant sa victime d’ouvrir un fichier spécialement forgé, d’exécuter du code arbitraire sur le système.
CVE-2022-34228[Score CVSS v3.1: 7.8]
Une vulnérabilité d'accès de pointeur non initialisé conduisant vers des emplacements de mémoire invalides permet à un attaquant, en persuadant sa victime d’ouvrir un fichier spécialement forgé, d’exécuter du code arbitraire sur le système.
CVE-2022-34226, CVE-2022-34222, CVE-2022-34215[Score CVSS v3.1: 7.8]
Une erreur de lecture de données en dehors des limites prévues de la mémoire tampon dans différents produits Adobe lors de l’analyse de fichiers entrants permet à un attaquant, en persuadant sa victime d’ouvrir un fichier spécialement forgé, d’exécuter du code arbitraire sur le système.
CVE-2022-34221[Score CVSS v3.1: 7.8]
Une erreur de type « confusion de type » dans différents produits Adobe permet à un attaquant, en envoyant une requête spécialement forgée, d’exécuter du code arbitraire avec les paramètres les plus élevés.
CVE-2022-34217[Score CVSS v3.1: 7.8]
Une erreur d’écriture hors des limites prévues de la mémoire tampon permet à un attaquant, en persuadant sa victime d’ouvrir un fichier spécialement forgé, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 7.8
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour les CVE-2022-34230, CVE-2022-34229, CVE-2022-34227, CVE-2022-34225, CVE-2022-34224, CVE-2022-34223, CVE-2022-34220, CVE-2022-34219, CVE-2022-34216
Pour la CVE-2022-34228
CWE-824: Access of Uninitialized Pointer
Pour les CVE-2022-34226, CVE-2022-34222, CVE-2022-34215
Pour la CVE-2022-34221
CWE-843: Access of Resource Using Incompatible Type
Pour la CVE-2022-34217
Détails sur l’exploitation
Pour l’ensemble des CVE présentées :
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des CVE présentées :
Acrobat DC et Acrobat Reader DC en version 22.001.20142 et antérieures.
Acrobat 2020 et Acrobat Reader 2020 en version 20.005.30334 et antérieures pour Windows et en version 20.005.30331 et antérieures pour Mac.
Acrobat 2017 et Acrobat Reader 2017 en version 17.012.30229 et antérieures pour Windows et en version 17.012.30227 et antérieures pour Mac.
Solutions ou recommandations
Mettre à jour Acrobat DC et Acrobat Reader DC à la version 22.001.20169.
Mettre à jour Acrobat 2020 et Acrobat Reader 2020 à la version 20.005.30362.
Mettre à jour Acrobat 2017 et Acrobat Reader 2017 à la version 17.012.30249.
Des informations complémentaires sont disponibles ici.
Liens
- helpx.adobe.com
- Mitre CVE-2022-34230
- Mitre CVE-2022-34229
- Mitre CVE-2022-34228
- Mitre CVE-2022-34227
- Mitre CVE-2022-34226
- Mitre CVE-2022-34225
- Mitre CVE-2022-34224
- Mitre CVE-2022-34223
- Mitre CVE-2022-34222
- Mitre CVE-2022-34221
- Mitre CVE-2022-34220
- Mitre CVE-2022-34219
- Mitre CVE-2022-34217
- Mitre CVE-2022-34216
- Mitre CVE-2022-34215