Adobe corrige 112 vulnérabilités dans 6 de ses produits dans son patch du mois de juillet

Adobe a publié son patch du mois de juillet corrigeant un total de 112 vulnérabilités dans ses produits, dont la plupart qualifiées d'importantes. Ces vulnérabilités impactent quatre produits: Adobe Flash Player, Adobe Experience Manager, Adobe Connect et Adobe Acrobat et Reader.

Ci-dessous, les vulnérabilités corrigées, classées par produit:

  • Adobe Flash Player: Deux vulnérabilités ont été corrigées dans Adobe Flash Player. La première est critique (CVE-2018-5007) et est due à une confusion de type. Son exploitation pourrait permettre à un attaquant d'exécuter du code arbitraire sur le système ciblé. La deuxième vulnérabilité (CVE-2018-5008), jugée importante, est due à une lecture hors limites (out-of-bounds). Elle pourrait permettre à un attaquant de récupérer des informations sensibles. 
    • Versions affectées: 
      • Adobe Flash Player Desktop Runtime, versions 30.0.0.113 et antérieures, pour Windows, macOS et Linux
      • Adobe Flash Player for Google Chrome, versions 30.0.0.113 et antérieures, pour Windows, macOS, Linux et Chrome OS
      • Adobe Flash Player for Microsoft Edge and Internet Explorer 11, versions 30.0.0.113 et antérieures, pour Windows 10 et 8.1
  • Adobe Acrobat et Reader: 104 vulnérabilités ont été corrigées dans Adobe Acrobat et Reader, dont 51 sont considérées critiques et 53 importantes. Les deux produits incluent notamment des failles de débordement de tas, d'écriture hors limites et de confusion de type. L'exploitation réussie de ces vulnérabilités permettrait principalement à un attaquant d'exécuter du code arbitraire sur le système cible, ou la divulgation d'informations confidentielles.
    • Versions affectées:
      • Acrobat DC et Acrobat Reader DC, Continuous Track, versions 2018.011.20040 et antérieures, pour Windows et MacOS
      • Acrobat 2017 et Acrobat Reader 2017, Classic 2017 Track, versions 2017.011.30080 et antérieures, pour Windows et MacOS
      • Acrobat DC et Acrobat Reader DC, Classic 2015 Track, versions 2015.006.30418 et antérieures, pour Windows et MacOS
  • Adobe Experience Manager: Adobe a traité trois vulnérabilités importantes de type SSRF (Server-Side Request Forgery) dans son produit Experience Manager. Une exploitation réussie de ces vulnérabilités pourrait provoquer une divulgation d'information sensible. 
    • Versions affectées:
      • Adobe Experience Manager, versions 6.4, 6.3, 6.2, 6.1 et 6.0, pour toutes les plateformes
  • Adobe Connect: Adobe a corrigé trois failles dans Adobe Connect, dont deux, jugées importantes. Leurs exploitations pourraient permettre à un attaquant de voler des informations sensibles, détourner des sessions et élever ses privilèges. 
    • Versions affectées: 
      • Adobe Connect, versions 9.7.5 et antérieures, pour toutes les plateformes

Il est à noter qu'aucune des vulnérabilités corrigées ce mois-ci ne dispose d'un exploit publiquement connu. Toutefois, Adobe recommande aux utilisateurs et aux administrateurs d'installer les dernières mises à jour dès que possible.