Adobe corrige deux vulnérabilités critiques sur Acrobat et Reader
Date de publication :
Les équipes de développement d'Adobe Acrobat et Reader ont corrigé deux vulnérabilités critiques affectant le logiciel de manipulation de PDF. Un attaquant pourrait l'exploiter pour exécuter du code arbitraire dans le contexte de l'utilisateur courant et élever ses privilèges. L'attaque est peu complexe à mettre en œuvre et requiert de faibles privilèges. En revanche, l'interaction avec un utilisateur est requise. Son impact estimé sur la confidentialité, la disponibilité et l'intégrité des données est élevé.
Les deux vulnérabilités ont été révélées par des chercheurs en sécurité sur le site Zero Day Initiative. L'attaque peut être réalisée en faisant en sorte qu'un utilisateur consulte un document PDF malicieux. La vulnérabilité affecte toutes les versions d'Acrobat et Reader depuis 2015 pour Windows et macOS. En combinant ces deux vulnérabilités, un attaquant pourrait donc exécuter du code arbitraire sur un système cible avec des privilèges administrateurs. Afin de se prémunir contre ce type d'attaque, il est toujours important de s'assurer que les documents PDF fournis, par exemple en pièce jointe de mail, proviennent de sources sûres.
Des correctifs ont été publiés par Adobe le 3 janvier. Des instructions ont été publiées sur le site d'Adobe, à destination à la fois des particuliers et des administrateurs, pour la mise à jour des environnements d'entreprise. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.
Détails techniques
CVE-2018-16011 [CVSS v3 8.6] : La première vulnérabilité est une utilisation de la mémoire après sa libération, le logiciel ne vérifie pas l'existence d'un objet avant d'effectuer des opérations sur celui-ci
CVE-2018-19725 [CVSS v3 7.7] : La seconde vulnérabilité a pour origine un contournement des restrictions de lecture seule pour des objets manipulés par le logiciel. Ce dernier intègre en effet un moteur d’exécution Javascript, qui fournit certaines méthodes via une API pour accéder à des objets. En contournant les restrictions de cette API, ainsi qu'en utilisant d'autres vulnérabilités non spécifiées, un attaquant pourrait ainsi élever ses privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Exécution de code arbitraire
Criticité
- Score CVSS : 8.60
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d'exploitation de la vulnérabilité n'est disponible publiquement.
Composants & versions vulnérables
- Acrobat DC, Acrobat Reader DC, Acrobat 2017 et Acrobat Reader DC 2017
CVE
- CVE-2018-16011
- CVE-2018-19725
Solutions ou recommandations
Mise en place de correctif de sécurité
- Des correctifs de sécurité sont disponibles sur le site d'Adobe.
Solution de contournement
- Aucune solution de contournement n'est suggérée par l'éditeur.