Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Digital Editions | APSB17-39

Référence du bulletin

Date de publication

Priorité 

APSB17-39

14 novembre 2017

3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Digital Editions pour Windows, Macintosh, iOS et Android. Cette mise à jour corrige une vulnérabilité critique de traitement des entités XML externes susceptible de divulguer des informations, et des vulnérabilités de type « lecture hors limites » et de type « corruption de mémoire » susceptibles de divulguer des adresses mémoire.

Versions concernées

Produit

Version 

Plate-forme

Adobe Digital Editions

Versions 4.5.6 et antérieures

Windows, Macintosh, iOS et Android

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version  Plate-forme Priorité  Disponibilité
Adobe Digital Editions 4.5.7 Windows  3 Page de téléchargement
Macintosh 3 Page de téléchargement
iOS 3 iTunes
Android 3 Playstore
Remarque :
  • Les utilisateurs d’Adobe Digital Editions 4.5.6 peuvent télécharger la mise à jour sur la page de téléchargement dédiée ou utiliser le processus de mise à jour automatique s’ils y sont invités.
  • Pour plus d’informations, consultez les notes de version.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Références CVE

Exploitation non sécurisée des entités XML externes

Divulgation d’informations

Critique

CVE-2017-11273

Lecture hors limites

Divulgation d’adresse mémoire

Important

CVE-2017-11297

Lecture hors limites

Divulgation d’adresse mémoire

Important

CVE-2017-11298

Lecture hors limites

Divulgation d’adresse mémoire

Important

CVE-2017-11299

Lecture hors limites

Divulgation d’adresse mémoire

Important

CVE-2017-11300

Corruption de mémoire

Divulgation d’adresse mémoire

Important

CVE-2017-11301

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé ces problèmes particuliers et joint leurs efforts aux nôtres pour assurer la sécurité des clients :

  • Steven Seeley de Source Incite (CVE-2017-11273)
  • Jaanus Kääp, Clarified Security (CVE-2017-11297, CVE-2017-11298, CVE-2017-11299, CVE-2017-11300)
  • Riusksk de Tencent Security Platform Department (CVE-2017-11301)