Vulnérabilités dans Adobe Acrobat Reader

À travers son avis de sécurité de juillet, l’éditeur Adobe corrige un grand nombre de vulnérabilités sur ses produits Adobe Acrobat et Adobe Acrobat Reader .

Une interaction de l'utilisateur est nécessaire pour exploiter cette vulnérabilité dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant.

CVE-2021-35983 [Score CVSS v3 : 5.3]
Une vulnérabilité au sein du traitement des AcroForms dans Adobe Acrobat et Acrobat Reader a été corrigée. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus en cours.

CVE-2021-35981 [Score CVSS v3 : 5.3]
Une vulnérabilité au sein de l'implémentation de la méthode launchURL dans Adobe Acrobat et Acrobat Reader a été corrigée. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus en cours.

CVE-2021-28638 [Score CVSS v3 : 6.3]
Une vulnérabilité au sein de l'analyse des fichiers PDF dans Adobe Acrobat et Acrobat Reader a été corrigée. Le problème résulte de l'absence de validation correcte de la longueur des données fournies par l'utilisateur avant de les copier dans un tampon de longueur fixe basé sur le tas. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus en cours.

CVE-2021-28639 [Score CVSS v3 : 6.3]
Une vulnérabilité au sein de la méthode setAction dans Adobe Acrobat et Acrobat Reader a été corrigée. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus en cours.

CVE-2021-35980, CVE-2021-28644 [Score CVSS v3 : 6.3]
Une vulnérabilité pouvant permettre un traversement de chemin a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’accéder en lecture à des fichiers arbitrairement.

CVE-2021-28640 [Score CVSS v3 : 5.5]
Une vulnérabilité de type use-after-free a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire.

CVE-2021-28643 [Score CVSS v3 : 6.3]
Une vulnérabilité de confusion de type a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'exécuter du code arbitraire.

CVE-2021-28641, CVE-2021-28639 [Score CVSS v3 : 6.3]
Une vulnérabilité de type use-after-free a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire.

CVE-2021-28642 [Score CVSS v3 : 6.3]
Une vulnérabilité pouvant permettre une écriture hors limite mémoire a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’obtenir les droits d’écriture sur les fichiers système de la machine vulnérable.

CVE-2021-28634 [Score CVSS v3 : 4.8]
Une vulnérabilité pouvant permettre une injection de commande système a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’exécuter du code arbitraire.