Adobe corrige de nombreuses vulnérabilités dans 3 de ses produits

L’éditeur Adobe a publié son bulletin de sécurité du mois de mai. Ce dernier corrige 87 vulnérabilités présentes sur plusieurs de ses produits, dont 50 sont jugées critiques et 37 jugées importantes. Ces vulnérabilités ont reçu une priorité évaluée par l'éditeur allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable. Ces vulnérabilités affectent 3 produits : Adobe Acrobat et Reader impacté par 84 d’entre elles, Adobe Flash Player par 1 et Adobe Media Encoder par 2. Windows et macOS sont les plateformes principalement impactées par ces correctifs, néanmoins les systèmes Linux sont également concernés par le correctif de sécurité lié à Adobe Flash Player.

L’exécution de code arbitraire, l’exécution de code arbitraire à distance ainsi que la divulgation d’informations sont les deux conséquences de l’exploitation de ces vulnérabilités. Il n’existe pas de démonstration de faisabilité de l’exploitation pour ces vulnérabilités et aucune d’entre elle n’aurait été exploitée pour l’instant.

Détails techniques :

Il corrige également 48 vulnérabilités critiques permettant l’exécution de code arbitraire :

Adobe Acrobat et Reader

L’ensemble des vulnérabilités corrigées pour Adobe Acrobat et Reader concerne les plateformes Windows et macOS uniquement. Le correctif corrige 36 vulnérabilités de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.

• CVE-2019-7804 [CVSS V3 9.8], CVE-2019-7825, CVE-2019-7822, CVE-2019-7818, CVE-2019-7829etCVE-2019-7800 [CVSS V3 8.8] : Ecriture en dehors des limites de la mémoire.
• CVE-2019-7820 [CVSS V3 8.8] : Confusion de type ; des objets sont mal interprétés menant à de possibles exécutions de code malveillant.
• CVE-2019-7759àCVE-2019-7768 [CVSS V3 le plus important : 9.8], CVE-2019-7805 à CVE-2019-7809 [CVSS V3 le plus important : 9.8], CVE-2019-7830àCVE-2019-7835 [CVSS V3 le plus important : 9.8] et 15 autres : Utilisation de mémoire après libération de celle-ci.
• CVE-2019-7828etCVE-2019-7827 [CVSS V3 8.8] : Dépassement de tas ; il s’agit d’écrire en dehors de la mémoire allouée.
• CVE-2019-7824 [CVSS V3 8.8] : Erreur de tampon ; permet à un attaquant d’écrire en dehors du tampon mémoire alloué.
• CVE-2019-7784 [CVSS V3 9.8] : Libération double de la mémoire ; cela cause une corruption mémoire pouvant permettre à l’attaquant d’exécuter du code arbitrairement.
• CVE-2019-7779 [CVSS V3 9.8] : Contournement de sécurité.

Adobe Flash Player

La vulnérabilité corrigée pour Adobe Flash Player concerne les plateformes Windows, macOS et Linux. Le correctif corrige une vulnérabilité de sévérité critique ayant pour impact l’exécution arbitraire de code :

• CVE-2019-7837 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.

Adobe Media Encoder

L’ensemble des vulnérabilités corrigées pour Adobe Media Encoder concerne uniquement les plateformes Windows et macOS. Le correctif corrige une vulnérabilité de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.

Il corrige également une vulnérabilité critique permettant l’exécution de code à distance :

• CVE-2019-7842 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.