Adobe corrige de nombreuses vulnérabilités dans 3 de ses produits

L’éditeur Adobe a publié son bulletin de sécurité du mois de mai. Ce dernier corrige 87 vulnérabilités présentes sur plusieurs de ses produits, dont 50 sont jugées critiques et 37 jugées importantes. Ces vulnérabilités ont reçu une priorité évaluée par l'éditeur allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable. Ces vulnérabilités affectent 3 produits : Adobe Acrobat et Reader impacté par 84 d’entre elles, Adobe Flash Player par 1 et Adobe Media Encoder par 2. Windows et macOS sont les plateformes principalement impactées par ces correctifs, néanmoins les systèmes Linux sont également concernés par le correctif de sécurité lié à Adobe Flash Player.

L’exécution de code arbitraire, l’exécution de code arbitraire à distance ainsi que la divulgation d’informations sont les deux conséquences de l’exploitation de ces vulnérabilités. Il n’existe pas de démonstration de faisabilité de l’exploitation pour ces vulnérabilités et aucune d’entre elle n’aurait été exploitée pour l’instant.

Détails techniques :

Il corrige également 48 vulnérabilités critiques permettant l’exécution de code arbitraire :

Adobe Acrobat et Reader

L’ensemble des vulnérabilités corrigées pour Adobe Acrobat et Reader concerne les plateformes Windows et macOS uniquement. Le correctif corrige 36 vulnérabilités de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.

Adobe Flash Player

La vulnérabilité corrigée pour Adobe Flash Player concerne les plateformes Windows, macOS et Linux. Le correctif corrige une vulnérabilité de sévérité critique ayant pour impact l’exécution arbitraire de code :

  • CVE-2019-7837 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.

Adobe Media Encoder

L’ensemble des vulnérabilités corrigées pour Adobe Media Encoder concerne uniquement les plateformes Windows et macOS. Le correctif corrige une vulnérabilité de sévérité importante ayant pour impact la divulgation d’informations à partir d’une lecture en dehors des limites.

Il corrige également une vulnérabilité critique permettant l’exécution de code à distance :

  • CVE-2019-7842 [CVSS V3 8.8] : Utilisation de mémoire après libération de celle-ci.
Informations
+

Risques

  • Exécution de code arbitraire
  • Exécution de code arbitraire à distance
  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé.

Composants & versions vulnérables

  • Acrobat DC : 2019.010.20100 et versions précédentes (Windows et macOS)
  • Acrobat Reader DC : 2019.010.20099 et versions précédentes (Windows et macOS)
  • Acrobat 2017 : 2017.011.30140 et versions précédentes (Windows et macOS)
  • Acrobat Reader 2017 : 2017.011.30138 et versions précédentes (Windows et macOS)
  • Acrobat DC 2015 : 2015.006.30495 et versions précédentes (Windows et macOS)
  • Acrobat Reader DC 2015 : 2015.006.30493 et versions précédentes (Windows et macOS)
  • Adobe Flash Player Desktop Runtime : 32.0.0.171 et versions précédentes (Windows, Linux et macOS)
  • Adobe Flash Player for Google Chrome : 32.0.0.171 et versions précédentes (Windows, Linux, Chrome OS et macOS)
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 : 32.0.0.171 et versions précédentes (Windows 10 et 8.1)
  • Adobe Media Encoder : 13.0.2 (Windows et macOS)
  • TAGS

CVE

  • CVE-2019-7140
  • CVE-2019-7141
  • CVE-2019-7142
  • CVE-2019-7143
  • CVE-2019-7144
  • CVE-2019-7145
  • CVE-2019-7758
  • CVE-2019-7759
  • CVE-2019-7760
  • CVE-2019-7761
  • CVE-2019-7762
  • CVE-2019-7763
  • CVE-2019-7764
  • CVE-2019-7765
  • CVE-2019-7766
  • CVE-2019-7767
  • CVE-2019-7768
  • CVE-2019-7769
  • CVE-2019-7770
  • CVE-2019-7771
  • CVE-2019-7772
  • CVE-2019-7773
  • CVE-2019-7774
  • CVE-2019-7775
  • CVE-2019-7776
  • CVE-2019-7777
  • CVE-2019-7778
  • CVE-2019-7779
  • CVE-2019-7780
  • CVE-2019-7781
  • CVE-2019-7782
  • CVE-2019-7783
  • CVE-2019-7784
  • CVE-2019-7785
  • CVE-2019-7786
  • CVE-2019-7787
  • CVE-2019-7788
  • CVE-2019-7789
  • CVE-2019-7790
  • CVE-2019-7791
  • CVE-2019-7792
  • CVE-2019-7793
  • CVE-2019-7794
  • CVE-2019-7795
  • CVE-2019-7796
  • CVE-2019-7797
  • CVE-2019-7798
  • CVE-2019-7799
  • CVE-2019-7800
  • CVE-2019-7801
  • CVE-2019-7802
  • CVE-2019-7803
  • CVE-2019-7804
  • CVE-2019-7805
  • CVE-2019-7806
  • CVE-2019-7807
  • CVE-2019-7808
  • CVE-2019-7809
  • CVE-2019-7810
  • CVE-2019-7811
  • CVE-2019-7812
  • CVE-2019-7813
  • CVE-2019-7814
  • CVE-2019-7817
  • CVE-2019-7818
  • CVE-2019-7819
  • CVE-2019-7820
  • CVE-2019-7821
  • CVE-2019-7822
  • CVE-2019-7823
  • CVE-2019-7824
  • CVE-2019-7825
  • CVE-2019-7826
  • CVE-2019-7827
  • CVE-2019-7828
  • CVE-2019-7829
  • CVE-2019-7830
  • CVE-2019-7831
  • CVE-2019-7832
  • CVE-2019-7833
  • CVE-2019-7834
  • CVE-2019-7835
  • CVE-2019-7836
  • CVE-2019-7837
  • CVE-2019-7841
  • CVE-2019-7842
  • CVE-2019-7844

Recommandations
+

Mise en place de correctif de sécurité

  • Adobe a publié une mise à jour corrigeant ces vulnérabilités sur les produits et les plateformes concernés.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.