Adobe corrige plusieurs vulnérabilités critiques dans 8 de ses produits

L’éditeur Adobe a publié son bulletin de sécurité du mois d’avril corrigeant 43 vulnérabilités présentes dans plusieurs ses produits, dont 24 sont jugées critiques, 18 importantes et 1 modérée. Les vulnérabilités ont reçu une priorité évaluée allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable. Ces vulnérabilités affectent 8 produits : Adobe Acrobat et Reader, Adobe Flash Player, Adobe Shockwave Player, Adobe Dreamweaver, Adobe XD, Adobe InDesign, Adobe Experience Manager Forms, Adobe Bridge CC. MacOS et Windows sont les plateformes principalement impactées par ce correctif, néanmoins les systèmes Linux sont également concernés par le correctif de sécurité lié à Adobe Flash Player et Adobe Experience Manager Forms.

L’exécution de code à distance permettant la prise de contrôle d’un système visé ainsi que la divulgation d’informations sont les deux conséquences liées à l’exploitation de ces vulnérabilités. Il n’existe pas de preuve de concept exploitant les vulnérabilités corrigées pour le moment ; d’après Adobe aucune d’entre elles n’aurait été exploitée.

 

Détails techniques :

Voici l’ensemble des vulnérabilités critiques classées par produit. Les scores CVSS ne sont pas encore disponibles.

Adobe Acrobat et Reader

L’ensemble des vulnérabilités critiques qui concernent Adobe Acrobat et Reader permettent l’exécution arbitraire de code. Plusieurs catégories d’attaque sont présentes et concernent les systèmes Windows et macOS :

Adobe Flash Player

Cette vulnérabilité concerne les systèmes Windows, macOS et Linux.

  • CVE-2019-7096 [Critique] : Permet l’exécution arbitraire de code à travers l’accès à de la mémoire après libération de celle-ci.

Adobe Shockwave Player

Ces vulnérabilités concernent les systèmes Windows.

Adobe XD

Ces vulnérabilités concernent les systèmes macOS.

  • CVE-2019-7105 et CVE-2019-7106 [Critique] : Défaut permettant une attaque par parcours de chemins (« Path Traversal »), cela permet d’accéder à des ressources qui sont normalement hors de portée et ainsi d’exécuter du code.

Adobe Indesign

Cette vulnérabilité concerne les systèmes Windows et macOS.

  • CVE-2019-7107 [Critique] : Permet l’exécution arbitraire de code à partir d’un traitement d’hyperliens non sécurisé.

Adobe Bridge CC

Cette vulnérabilité concerne les systèmes Windows et macOS.

  • CVE-2019-7130 [Critique] : Permet l’exécution arbitraire de code à partir d’un dépassement de tas.
  • CVE-2019-7132 [Critique] : Permet l’exécution arbitraire de code à partir d’un accès en dehors de la mémoire allouée.
Informations
+

Risques

  • Exécution de code arbitraire
  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS: critique

Existence d’un code d’exploitation de la vulnérabilité

  • Il n’existe pour le moment pas de preuve de concept exploitant les vulnérabilités corrigées ; d’après Adobe aucune d’entre elles n’aurait été exploitée.

Composants & versions vulnérables

  • Acrobat DC (Continuous) 2019.010.20098 et précédent
  • Acrobat Reader DC (Continuous) 2019.010.20098 et précédent
  • Acrobat 2017 (Classic 2017) 2017.011.30127 et précédent
  • Acrobat Reader 2017 (Classic 2017) 2017.011.30127 et précédent
  • Acrobat DC (Classic 2015) 2017.011.30127 et précédent
  • Acrobat Reader DC (Classic 2015) 2017.011.30127 et précédent
  • Adobe Flash Player Desktop Runtime 32.0.0.156 et précédent
  • Adobe Flash Player for Google Chrome 32.0.0.156 et précédent
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 32.0.0.156 et précédent
  • Adobe Shockwave Player 12.3.4.204 et précédent
  • Adobe Dreamweaver 19.0 et précédent
  • Adobe XD 16.0 et précédent
  • Adobe InDesign 14.0.1 et précédent
  • Adobe Experience Manager Forms 6.2, 6.3 et 6.4
  • Adobe Bridge CC 9.0.2

CVE

  • CVE-2019-7129
  • CVE-2019-7061
  • CVE-2019-7088
  • CVE-2019-7096
  • CVE-2019-7097
  • CVE-2019-7098
  • CVE-2019-7099
  • CVE-2019-7100
  • CVE-2019-7101
  • CVE-2019-7102
  • CVE-2019-7103
  • CVE-2019-7104
  • CVE-2019-7105
  • CVE-2019-7106
  • CVE-2019-7107
  • CVE-2019-7108
  • CVE-2019-7109
  • CVE-2019-7110
  • CVE-2019-7111
  • CVE-2019-7112
  • CVE-2019-7113
  • CVE-2019-7114
  • CVE-2019-7115
  • CVE-2019-7116
  • CVE-2019-7117
  • CVE-2019-7118
  • CVE-2019-7119
  • CVE-2019-7120
  • CVE-2019-7121
  • CVE-2019-7122
  • CVE-2019-7123
  • CVE-2019-7124
  • CVE-2019-7125
  • CVE-2019-7127
  • CVE-2019-7128
  • CVE-2019-7130
  • CVE-2019-7132
  • CVE-2019-7133
  • CVE-2019-7134
  • CVE-2019-7135
  • CVE-2019-7136
  • CVE-2019-7137
  • CVE-2019-7138

Recommandations
+

Mise en place de correctif de sécurité

Des mises à jour pour les différents produits sont disponibles et couvrent l'ensemble des vulnérabilités présentées.

Solution de contournement

Adobe préconise de mettre à jour l'ensemble des produits affectés.