Adobe corrige 19 vulnérabilités affectant 6 de ses produits dans son patch du mois d'avril

Le "Patch Tuesday" d’Adobe Systems a été publié pour le mois d'avril. Il apporte des mises à jour corrigeant 19 vulnérabilités dans 6 produits: Adobe Flash Player, Experience Manager, InDesign CC, Digital Editions, ColdFusion et le plugin PhoneGap Push.

Parmi les vulnérabilités corrigées, on note:

  • 6 failles de criticité importante à critique sur Flash Player corrigées avec la sortie de la version 29.0.0.140. Il s'agit des vulnérabilités de type "use-after-free", une lecture et deux écritures hors limites et un débordement de tampon. Leur exploitation permet d'exécuter du code à distance et une divulgation d'informations ;

  • 3 XSS de criticité modérée et importante corrigées sur Experience Manager ;

  • Une corruption de mémoire critique due à l'analyse non sécurisée de fichiers .inx spécialement conçus dont l'exploitation permet d'exécuter du code arbitraire sur InDesign CC corrigée dans la version 13.1 ;

  • Une lecture hors limites et un débordement de pile entrainant la divulgation d'informations sur Adobe Digital Editions corrigées dans la version 4.5.8 ;

  • Un chargement de bibliothèque non sécurisé, une désérialisation de données non sécurisées, un traitement de données XML non sécurisées et deux XSS sur ColdFusion 11 et 2016 corrigées respectivement dans les mises à jour 6 et 14 ;

  • Une Same Origin Method Execution dont l'exploitation permet d'exécuter du code JavaScript dans le contexte du plugin Adobe PhoneGap Push corrigée dans la mise à jour 2.1.0.