Adobe corrige plusieurs vulnérabilités critiques dans 3 de ses produits

L'éditeur Adobe a publié son bulletin de sécurité du mois de juin. Ce dernier corrige 11 vulnérabilités présentes sur plusieurs de ses produits, dont 5 sont jugées critiques, 3 sont jugées importantes et 3 jugées modérées. Ces vulnérabilités ont reçu une priorité évaluée par l'éditeur allant de 2 à 3, ce qui signifie qu'Adobe estime que leur exploitation prochaine est peu probable.

Elles affectent les 3 produits suivants : Adobe ColdFusion pour 3 d’entre elles, Adobe Campaign pour 7 d'entre elles et Adobe Flash Player pour 1. ChromeOS, Linux, macOS et Windows sont les systèmes d'exploitation principalement impactés par ces correctifs.

L’exécution de code arbitraire, la divulgation d’informations et l’accès en lecture à des fichiers systèmes sont les trois conséquences de l’exploitation de ces vulnérabilités. Il n’existe néanmoins pas de démonstration de faisabilité connue pour  l’exploitation de l'une d'entre elles.

Détails techniques :

L’ensemble des vulnérabilités critiques et importantes par produit corrigées par les différents correctifs de sécurité, les scores CVSS ne sont pas connus à ce jour :

Adobe ColdFusion

L’ensemble des vulnérabilités corrigées pour Adobe ColdFusion concerne toutes les plateformes. Le correctif corrige 3 vulnérabilités de sévérité critique ayant pour impact l’exécution de code arbitraire à partir de trois types d’attaques :

  • CVE-2019-7838 [Score CVSSv3 9.8] : Contournement d’une liste de noire d’extensions de fichiers.
  • CVE-2019-7839 [Score CVSSv3 9.8] : Injection de commande.
  • CVE-2019-7840 [Score CVSSv3 9.8] : Défaut dans la désérialisation de données non fiables.

Adobe Campaign

L’ensemble des vulnérabilités corrigées pour Adobe Campaign concerne uniquement les plateformes Windows et Linux. Le correctif corrige 1 vulnérabilité de sévérité critique ainsi que 3 vulnérabilités de sévérité importante :

  • CVE-2019-7850 [Score CVSSv3 9.8] : Exécution arbitraire de code à partir d’une injection de commande.
  • CVE-2019-7843 [Score CVSSv3 7.5] : Divulgation d’informations à cause d’une mauvaise validation des entrées utilisateurs.
  • CVE-2019-7847 [Score CVSSv3 7.5] : Lecture arbitraire de fichiers systèmes causée par une restriction incorrecte de références d’entités XML externes (XXE).
  • CVE-2019-7849 [Score CVSSv3 7.5] : Divulgation d’informations par la présence d’informations sensibles dans le code source.

Adobe Flash Player

La vulnérabilité corrigée pour Adobe Flash Player concerne les plateformes ChromeOS, Linux, macOS et Windows. Le correctif corrige une vulnérabilité de sévérité critique ayant pour impact l’exécution arbitraire de code :

  • CVE-2019-7845 [Score CVSSv3 8.8] : Utilisation de mémoire après libération de celle-ci.
Informations
+

Risques

  • Exécution de code arbitraire ;
  • Divulgation d’informations ;
  • Accès en lecture à des fichiers système.

Criticité

  • Score CVSS : 9.80 (score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'est publiquement disponible pour les vulnérabilités identifiées.

Composants & versions vulnérables

  • Voir le résumé du bulletin.

CVE

  • CVE-2019-7838
  • CVE-2019-7839
  • CVE-2019-7840
  • CVE-2019-7843
  • CVE-2019-7845
  • CVE-2019-7847
  • CVE-2019-7849
  • CVE-2019-7850

Recommandations
+

Mise en place de correctif de sécurité

  • Adobe a publié des mises à jour pour l'ensemble de ces vulnérabilités.

Solution de contournement

  • Aucune solution de contournement n'a été proposée pour ces vulnérabilité.