Adobe corrige deux vulnérabilités critiques sur Acrobat et Reader

Les équipes de développement d'Adobe Acrobat et Reader ont corrigé deux vulnérabilités critiques affectant le logiciel de manipulation de PDF. Un attaquant pourrait l'exploiter pour exécuter du code arbitraire dans le contexte de l'utilisateur courant et élever ses privilèges. L'attaque est peu complexe à mettre en œuvre et requiert de faibles privilèges. En revanche, l'interaction avec un utilisateur est requise. Son impact estimé sur la confidentialité, la disponibilité et l'intégrité des données est élevé.

Les deux vulnérabilités ont été révélées par des chercheurs en sécurité sur le site Zero Day Initiative. L'attaque peut être réalisée en faisant en sorte qu'un utilisateur consulte un document PDF malicieux. La vulnérabilité affecte toutes les versions d'Acrobat et Reader depuis 2015 pour Windows et macOS. En combinant ces deux vulnérabilités, un attaquant pourrait donc exécuter du code arbitraire sur un système cible avec des privilèges administrateurs. Afin de se prémunir contre ce type d'attaque, il est toujours important de s'assurer que les documents PDF fournis, par exemple en pièce jointe de mail, proviennent de sources sûres.

Des correctifs ont été publiés par Adobe le 3 janvier. Des instructions ont été publiées sur le site d'Adobe, à destination à la fois des particuliers et des administrateurs, pour la mise à jour des environnements d'entreprise. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.

Détails techniques

Adobe a choisi de ne pas communiquer de détails sur ces deux vulnérabilités. En revanche, les deux chercheurs ont publié deux bulletins sur le site de Zero Day Initiative. La première vulnérabilité est une utilisation de la mémoire après sa libération, le logiciel ne vérifie pas l'existence d'un objet avant d'effectuer des opérations sur celui-ci.

La seconde vulnérabilité a pour origine un contournement des restrictions de lecture seule pour des objets manipulés par le logiciel. Ce dernier intègre en effet un moteur d’exécution Javascript, qui fournit certaines méthodes via une API pour accéder à des objets. En contournant les restrictions de cette API, ainsi qu'en utilisant d'autres vulnérabilités non spécifiées, un attaquant pourrait ainsi élever ses privilèges.

Informations
+

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire

Criticité

  • Score CVSS : 8.20

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation de la vulnérabilité n'est disponible publiquement.

Composants & versions vulnérables

  • Acrobat DC, Acrobat Reader DC, Acrobat 2017 et Acrobat Reader DC 2017

CVE

  • CVE-2018-16011
  • CVE-2018-19725

Recommandations
+

Mise en place de correctif de sécurité

  • Des correctifs de sécurité sont disponibles sur le site d'Adobe.

Solution de contournement

  • Aucune solution de contournement n'est suggérée par l'éditeur.