Vulnérabilités dans Adobe Acrobat
Date de publication :
De multiples vulnérabilités ont été découvertes dans Adobe Acrobat, faisant l’objet d’un bulletin de priorité 2 (vulnérabilités importantes mais non-exploitées). Un attaquant exploitant ces vulnérabilités peut obtenir des informations sensibles, élever son niveau de privilèges, ou encore exécuter du code arbitraire. Les détails techniques, y compris les vecteurs d’attaque (attaque locale ou distante), ne sont pas encore disponibles.
CVE-2020-3804, CVE-2020-3806 [Score CVSS v3 : 7.5] : De multiples vulnérabilités de type lecture hors-limites ont été découvertes dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut obtenir des informations sensibles.
CVE-2020-3795 [Score CVSS v3 : 9.8] : Une vulnérabilité de type écriture hors-limites a été découverte dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut exécuter du code arbitraire sur la machine de la victime.
CVE-2020-3799 [Score CVSS v3 : 9.8] : Une vulnérabilité de type dépassement de tampon dans la pile a été découverte dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut exécuter du code arbitraire sur la machine de la victime.
CVE-2020-3792, CVE-2020-3793, CVE-2020-3801, CVE-2020-3802, CVE-2020-3805 [Score CVSS v3 : 9.8] : De multiples vulnérabilités de type “use after free” ont été découvertes dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut exécuter du code arbitraire sur la machine de la victime.
CVE-2020-3800 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à une fuite d’adresse mémoire a été découverte dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut obtenir des informations sensibles.
CVE-2020-3807 [Score CVSS v3 : 9.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut exécuter du code arbitraire sur la machine de la victime.
CVE-2020-3797 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à une corruption mémoire a été découverte dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut exécuter du code arbitraire sur la machine de la victime.
CVE-2020-3803 [Score CVSS v3 : 7.8] : Une vulnérabilité liée à un chargement non-sécurisé de bibliothèque (DLL) a été découverte dans Adobe Acrobat. Un attaquant exploitant cette vulnérabilité peut élever son niveau de privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
● Fuite d’informations sensibles
● Elévation de privilèges
● Exécution de code arbitraire
Criticité
● Score CVSS v3 : 9.8 max
Existence d’un code d’exploitation
● Pas de code d’exploitation disponible publiquement pour l’instant
Composants vulnérables
● Acrobat DC avant la version 2020.006.20042
● Acrobat Reader DC avant la version 2020.006.20042
● Acrobat 2017 avant la version 2017.011.30166
● Acrobat Reader 2017 avant la version 2017.011.30166
● Acrobat 2015 avant la version 2015.006.30518
● Acrobat Reader 2015 avant la version 2015.006.30518
CVE
● CVE-2020-3804
● CVE-2020-3806
● CVE-2020-3795
● CVE-2020-3799
● CVE-2020-3792
● CVE-2020-3793
● CVE-2020-3801
● CVE-2020-3802
● CVE-2020-3805
● CVE-2020-3800
● CVE-2020-3807
● CVE-2020-3797
● CVE-2020-3803
Solutions ou recommandations
Mise en place de correctifs de sécurité
● Mettre à jour Adobe Acrobat vers une version non-vulnérable (voir la section “Composants vulnérables”).
Solution de contournement
● Aucune solution de contournement n’est disponible