Adobe corrige plusieurs vulnérabilités critiques dans 8 de ses produits

L’éditeur Adobe a publié son bulletin de sécurité du mois d’avril corrigeant 43 vulnérabilités présentes dans plusieurs ses produits, dont 24 sont jugées critiques, 18 importantes et 1 modérée. Les vulnérabilités ont reçu une priorité évaluée allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable. Ces vulnérabilités affectent 8 produits : Adobe Acrobat et Reader, Adobe Flash Player, Adobe Shockwave Player, Adobe Dreamweaver, Adobe XD, Adobe InDesign, Adobe Experience Manager Forms, Adobe Bridge CC. MacOS et Windows sont les plateformes principalement impactées par ce correctif, néanmoins les systèmes Linux sont également concernés par le correctif de sécurité lié à Adobe Flash Player et Adobe Experience Manager Forms.

L’exécution de code à distance permettant la prise de contrôle d’un système visé ainsi que la divulgation d’informations sont les deux conséquences liées à l’exploitation de ces vulnérabilités. Il n’existe pas de preuve de concept exploitant les vulnérabilités corrigées pour le moment ; d’après Adobe aucune d’entre elles n’aurait été exploitée.

Détails techniques :

Voici l’ensemble des vulnérabilités critiques classées par produit. Les scores CVSS ne sont pas encore disponibles.

Adobe Acrobat et Reader

L’ensemble des vulnérabilités critiques qui concernent Adobe Acrobat et Reader permettent l’exécution arbitraire de code. Plusieurs catégories d’attaque sont présentes et concernent les systèmes Windows et macOS :

• CVE-2019-7111, CVE-2019-7118, CVE-2019-7119, CVE-2019-7120 et CVE-2019-7124 [CVSS v3 7.8] : 5 sont dues à une écriture possible hors des limites de la mémoire. 
• CVE-2019-7117 et CVE-2019-7128 [CVSS v3 7.8]: 2 vulnérabilités sont des confusions de type : des objets sont mal interprétés menant à de possibles exécutions de code malveillant. 
• CVE-2019-7088 et CVE-2019-7112 [CVSS v3 7.8] : 2 vulnérabilités sont dues à l’accès à de la mémoire après libération de celle-ci. 
• CVE-2019-7113 et CVE-2019-7125 [CVSS v3 7.8] : 2 vulnérabilités sont dues à des dépassements de tas ; il s’agit d’écrire en dehors de la mémoire allouée.

Adobe Flash Player

Cette vulnérabilité concerne les systèmes Windows, macOS et Linux.

• CVE-2019-7096 [CVSS v3 8.8] [Critique] : Permet l’exécution arbitraire de code à travers l’accès à de la mémoire après libération de celle-ci.

Adobe Shockwave Player

Ces vulnérabilités concernent les systèmes Windows.

• CVE-2019-7098, CVE-2019-7099, CVE-2019-7100, CVE-2019-7101, CVE-2019-7102, CVE-2019-7103 [CVSS v3 7.8] et CVE-2019-7104 [CVSS v3 8.8] : L’ensemble des 7 vulnérabilités concernant Adobe Shockwave Player sont des vulnérabilités de sévérité critique permettant l’exécution arbitraire de code à travers une corruption mémoire. 

Adobe XD

Ces vulnérabilités concernent les systèmes macOS.

• CVE-2019-7105 et CVE-2019-7106  [CVSS v3 8.8] [Critique] : Défaut permettant une attaque par parcours de chemins (« Path Traversal »), cela permet d’accéder à des ressources qui sont normalement hors de portée et ainsi d’exécuter du code.

Adobe Indesign

Cette vulnérabilité concerne les systèmes Windows et macOS.

• CVE-2019-7107  [CVSS v3 8.8] [Critique] : Permet l’exécution arbitraire de code à partir d’un traitement d’hyperliens non sécurisé.

Adobe Bridge CC

Cette vulnérabilité concerne les systèmes Windows et macOS.

• CVE-2019-7130 [CVSS v3 7.8][Critique] : Permet l’exécution arbitraire de code à partir d’un dépassement de tas.
• CVE-2019-7132 [CVSS v3 7.8][Critique] : Permet l’exécution arbitraire de code à partir d’un accès en dehors de la mémoire allouée.