Bulletin de sécurité Adobe
Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader | APSB18-09
Référence du bulletin Date de publication Priorité 
APSB18-09 14 mai 2018 1

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques susceptibles d’entraîner l’exécution d’un code arbitraire sur l’appareil de l’utilisateur concerné.

Adobe est conscient qu’un code malveillant exploitant une faille de sécurité est présent sur Internet (CVE-2018-4990).   De plus, le code démontrant l’exploitation possible de la vulnérabilité CVE-2018-4993 a été publié en ligne.  

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC  Grand public Versions 2018.011.20038 et antérieures 
Windows et macOS
Acrobat Reader DC  Grand public Versions 2018.011.20038 et antérieures 
Windows et macOS
       
Acrobat 2017 Classic 2017 Versions 2017.011.30079 et antérieures Windows et macOS
Acrobat Reader 2017 Classic 2017 Versions 2017.011.30079 et antérieures Windows et macOS
       
Acrobat DC  Classic 2015 Versions 2015.006.30417 et antérieures
Windows et macOS
Acrobat Reader DC  Classic 2015 Versions 2015.006.30417 et antérieures
Windows et macOS

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.

Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des
    mises à jour sont détectées.
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM
    (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC 2018.011.20040
Windows et macOS 1 Windows
macOS
Acrobat Reader DC 2018.011.20040
Windows et macOS 1 Windows
macOS
         
Acrobat 2017 2017.011.30080 Windows et macOS 1 Windows
macOS
Acrobat Reader DC 2017 2017.011.30080 Windows et macOS 1 Windows
macOS
         
Acrobat Reader DC (Classic 2015) 2015.006.30418
Windows et macOS
1 Windows
macOS
Acrobat Reader DC (Classic 2015) 2015.006.30418 Windows et macOS 1 Windows
macOS

Remarque :

Comme indiqué dans l’annonce précédente, Adobe Acrobat 11.x et Adobe Reader 11.x ne sont plus pris en charge depuis le 15 octobre 2017.  La version 11.0.23 correspond à la dernière version d’Adobe Acrobat 11.x et Adobe Reader 11.x.  Adobe recommande de passer aux dernières versions d’Adobe Acrobat DC et Adobe Acrobat Reader DC. En installant les dernières versions, vous bénéficierez des dernières fonctionnalités améliorées et mesures de sécurité renforcées.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Double Free
Exécution de code arbitraire Critique CVE-2018-4990
Débordement de tas
Exécution de code arbitraire
Critique

CVE-2018-4947, CVE-2018-4948, CVE-2018-4966, CVE-2018-4968, CVE-2018-4978, CVE-2018-4982, CVE-2018-4984

Utilisation de zone désallouée 
Exécution de code arbitraire
Critique CVE-2018-4996, CVE-2018-4952, CVE-2018-4954, CVE-2018-4958, CVE-2018-4959, CVE-2018-4961, CVE-2018-4971, CVE-2018-4974, CVE-2018-4977, CVE-2018-4980, CVE-2018-4983, CVE-2018-4988, CVE-2018-4989 
Ecriture hors limites 
Exécution de code arbitraire
Critique CVE-2018-4950 
Contournement de sécurité Divulgation d’informations Important CVE-2018-4979
Lecture hors limites Divulgation d’informations Important CVE-2018-4949, CVE-2018-4951, CVE-2018-4955, CVE-2018-4956, CVE-2018-4957, CVE-2018-4960, CVE-2018-4962, CVE-2018-4963, CVE-2018-4964, CVE-2018-4967, CVE-2018-4969, CVE-2018-4970, CVE-2018-4972, CVE-2018-4973, CVE-2018-4975, CVE-2018-4976, CVE-2018-4981, CVE-2018-4986, CVE-2018-4985
Confusion de type Exécution de code arbitraire Critique CVE-2018-4953
Déréférencement d’un pointeur non approuvé  Exécution de code arbitraire Critique CVE-2018-4987
Corruption de mémoire Divulgation d’informations Important CVE-2018-4965
Vol de hachage lors de l’authentification NTLM SSO Divulgation d’informations Important CVE-2018-4993
Injection d’une nouvelle ligne HTTP POST via l’envoi d’un fichier XFA Contournement de sécurité Important CVE-2018-4995

Remarque :

Consultez cet article de la base de connaissances pour savoir comment contrer la vulnérabilité CVE-2018-4993.  Pour limiter l’impact de la vulnérabilité CVE-2018-4993, les administrateurs ont la possibilité d’empêcher l’ouverture de liens sur PDF (GoToE, GoToR, lancement de programme, ouverture de fil de discussion, importations de données, exportation de données d’un formulaire, envoi et réinitialisation d’un formulaire, etc.). Pour plus de détails, consultez cette documentation.

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé
ces problèmes et joint leurs efforts aux nôtres pour protéger les clients :

  • Aleksandar Nikolic de Cisco Talos (CVE-2018-4996, CVE-2018-4947)
  • Anton Cherepanov, ESET et Matt Oh, Microsoft (CVE-2018-4990)
  • Vladislav Stolyarov de Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
  • Yoav Alon et Netanel Ben-Simon de Check Point Software Technologies (CVE-2018-4985)
  • Gal De Leon de Palo Alto Networks (CVE-2018-4959, CVE-2018-4961)
  • Ke Liu de Xuanwu LAB de Tencent (CVE-2018-4960, CVE-2018-4986)
  • Des personnes anonymes ayant signalé des problèmes via le projet Zero Day Initiative de Trend Micro (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
  • WillJ de Tencent PC Manager via le projet Zero Day Initiative de Trend Micro (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
  • Riusksk du Tencent Security Platform Department via le projet Zero Day Initiative de Trend Micro (CVE-2018-4956, CVE-2018-4957)
  • Steven Seeley via le projet Zero Day Initiative de Trend Micro (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
  • Ke Liu de Xuanwu LAB de Tencent pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
  • Sebastian Apelt de Siberas via le projet Zero Day Initiative de Trend Micro (CVE-2018-4977)
  • AbdulAziz Hariri via le projet Zero Day Initiative de Trend Micro (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
  • Hui Gao de Palo Alto Networks et Heige (connu sous le pseudo SuperHei) de Knownsec 404 Security Team (CVE-2018-4958, CVE-2018-4983)
  • Cybellum Technologies LTD (CVE-2018-4989)
  • Alex de Cure53 (CVE-2018-4995)
  • Assaf Baharav, Yaron Fruchtmann et Ido Solomon de Check Point Software Technologies (CVE-2018-4993)

Révision

15 mai 2018 : Langue ajoutée pour informer les utilisateurs que des tentatives d’exploitation de CVE-2018-4990 ont été lancées et que le code démontrant l’exploitation possible de la vulnérabilité CVE-2018-4985 a été publié en ligne. Ajout de CVE-2018-4995 pour remplacer la référence CVE-2018-4994, qui était déjà associée à une vulnérabilité indépendante dans Adobe Connect. Ajout de CVE-2018-4996 pour remplacer la référence CVE-2018-4946, qui était déjà associée à une vulnérabilité indépendante dans Adobe Photoshop.

16 mai 2018 : remplacement de CVE-2018-4985 par CVE-2018-4993 dans la section récapitulative.  Le code démontrant l’exploitation possible de la vulnérabilité CVE-2018-4993 a été publié en ligne, mais pas pour CVE-2018-4985. 

17 mai 2018 : ajout d’un lien vers la documentation expliquant comment limiter l’impact de CVE-2018-4993 en empêchant les utilisateurs d’accéder à des liens dans les documents PDF.