Bulletin de sécurité pour Adobe Acrobat et Reader | APSB18-21
Référence du bulletin Date de publication Priorité 
APSB18-21 10 juillet 2018 2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques et importantes.  Une exploitation réussie est susceptible d’entraîner l’exécution d’un code arbitraire dans le contexte de l’utilisateur actuel.

Versions concernées

Produit Suivi Versions concernées Plate-forme Priorité
Acrobat DC  Continue
Versions 2018.011.20040 et antérieures 
Windows et macOS 2
Acrobat Reader DC Continue
Versions 2018.011.20040 et antérieures 
Windows et macOS 2
         
Acrobat 2017 Classic 2017 Versions 2017.011.30080 et antérieures Windows et macOS 2
Acrobat Reader 2017 Classic 2017 Versions 2017.011.30080 et antérieures Windows et macOS 2
         
Acrobat DC  Classic 2015 Versions 2015.006.30418 et antérieures
Windows et macOS 2
Acrobat Reader DC  Classic 2015 Versions 2015.006.30418 et antérieures
Windows et macOS 2

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC

Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des
    mises à jour sont détectées.
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continue 2018.011.20055
Windows et macOS 2
Windows
macOS
Acrobat Reader DC Continue 2018.011.20055
Windows et macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows et macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows et macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows et macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows et macOS 2
Windows
macOS

Remarque :

Comme indiqué dans l’annonce précédente, Adobe Acrobat 11.x et Adobe Reader 11.x ne sont plus pris en charge depuis le 15 octobre 2017.  La version 11.0.23 correspond à la dernière version d’Adobe Acrobat 11.x et Adobe Reader 11.x.  Adobe recommande de passer aux dernières versions d’Adobe Acrobat DC et Adobe Acrobat Reader DC. En installant les dernières versions, vous bénéficierez des dernières fonctionnalités améliorées et mesures de sécurité renforcées.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Double Free
Exécution de code arbitraire Critique CVE-2018-12782
Débordement de tas
Exécution de code arbitraire
Critique CVE-2018-5015, CVE-2018-5028, CVE-2018-5032, CVE-2018-5036, CVE-2018-5038, CVE-2018-5040, CVE-2018-5041, CVE-2018-5045, CVE-2018-5052, CVE-2018-5058, CVE-2018-5067, CVE-2018-12785, CVE-2018-12788, CVE-2018-12798
Utilisation de zone désallouée 
Exécution de code arbitraire
Critique CVE-2018-5009, CVE-2018-5011, CVE-2018-5065, CVE-2018-12756, CVE-2018-12770, CVE-2018-12772, CVE-2018-12773, CVE-2018-12776, CVE-2018-12783, CVE-2018-12791, CVE-2018-12792, CVE-2018-12796, CVE-2018-12797  
Ecriture hors limites 
Exécution de code arbitraire
Critique CVE-2018-5020, CVE-2018-5021, CVE-2018-5042, CVE-2018-5059, CVE-2018-5064, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12758, CVE-2018-12760, CVE-2018-12771, CVE-2018-12787
Contournement de sécurité Réaffectation de privilèges
Critique
CVE-2018-12802
Lecture hors limites Divulgation d’informations Important CVE-2018-5010, CVE-2018-12803, CVE-2018-5014, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5022, CVE-2018-5023, CVE-2018-5024, CVE-2018-5025, CVE-2018-5026, CVE-2018-5027, CVE-2018-5029, CVE-2018-5031, CVE-2018-5033, CVE-2018-5035, CVE-2018-5039, CVE-2018-5044, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5053, CVE-2018-5054, CVE-2018-5055, CVE-2018-5056, CVE-2018-5060, CVE-2018-5061, CVE-2018-5062, CVE-2018-5063, CVE-2018-5066, CVE-2018-5068, CVE-2018-12757, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767, CVE-2018-12768, CVE-2018-12774, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12786, CVE-2018-12789, CVE-2018-12790, CVE-2018-12795
Confusion de type Exécution de code arbitraire Critique CVE-2018-5057, CVE-2018-12793, CVE-2018-12794
Déréférencement d’un pointeur non approuvé  Exécution de code arbitraire Critique CVE-2018-5012, CVE-2018-5030
Erreurs de mémoire tampon
Exécution de code arbitraire Critique CVE-2018-5034, CVE-2018-5037, CVE-2018-5043, CVE-2018-12784

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Gal De Leon de Palo Alto Networks (CVE-2018-5009, CVE-2018-5066)

  • Vulnérabilité signalée anonymement via le projet Zero Day Initiative de Trend Micro (CVE-2018-12770, CVE-2018-12771, CVE-2018-12772, CVE-2018-12773, CVE-2018-12774, CVE-2018-12776, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12783,CVE-2018-12795, CVE-2018-12797)

  • WillJ de Tencent PC Manager via le projet Zero Day Initiative de Trend Micro (CVE-2018-5058, CVE-2018-5063, CVE-2018-5065)

  • Steven Seeley via le projet Zero Day Initiative de Trend Micro (CVE-2018-5012, CVE-2018-5030, CVE-2018-5033, CVE-2018-5034, CVE-2018-5035, CVE-2018-5059, CVE-2018-5060, CVE-2018-12793, CVE-2018-12796) 

  • Ke Liu de Xuanwu LAB de Tencent pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2018-12803, CVE-2018-5014, CVE-2018-5015, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5027, CVE-2018-5028, CVE-2018-5029, CVE-2018-5031, CVE-2018-5032, CVE-2018-5055, CVE-2018-5056, CVE-2018-5057)

  • Sebastian Apelt de Siberas via le projet Zero Day Initiative de Trend Micro (CVE-2018-12794)

  • Zhiyuan Wang de Chengdu Qihoo360 Tech Co. Ltd. (CVE-2018-12758)

  • Lin Wang de la Beihang University (CVE-2018-5010, CVE-2018-5020, CVE-2018-12760, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12787, CVE-2018-5067) 

  • Zhenjie Jia de l’équipe Qihoo 360 Vulcan Team (CVE-2018-12757)

  • Netanel Ben Simon et Yoav Alon de Check Point Software Technologies (CVE-2018-5063, CVE-2018-5064, CVE-2018-5065, CVE-2018-5068, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767). CVE-2018-12768)

  • Aleksandar Nikolic de Cisco Talos (CVE-2018-12756)

  • Vladislav Stolyarov de Kaspersky Lab (CVE-2018-5011) 

  • Ke Liu de Xuanwu Lab de Tencent (CVE-2018-12785, CVE-2018-12786)

  • Kdot via le projet Zero Day Initiative de Trend Micro (CVE-2018-5036, CVE-2018-5037, CVE-2018-5038, CVE-2018-5039, CVE-2018-5040, CVE-2018-5041, CVE-2018-5042, CVE-2018-5043, CVE-2018-5044, CVE-2018-5045, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5052, CVE-2018-5053, CVE-2018-5054, CVE-2018-5020)

  • Pengsu Cheng de Trend Micro pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2018-5061, CVE-2018-5067, CVE-2018-12790, CVE-2018-5056)

  • Ron Waisberg pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2018-5062, CVE-2018-12788, CVE-2018-12789) 

  • Steven Seeley (mr_me) de Source Incite en collaboration avec iDefense Labs (CVE-2018-12791, CVE-2018-12792, CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • XuPeng de TCA/SKLCS Institute of Software Chinese Academy of Sciences et HuangZheng de Baidu Security Lab (CVE-2018-12782)

  • Signalement anonyme (CVE-2018-12784, CVE-2018-5009)

  • mr_me de Source Incite pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2018-12761)

  • Zhanglin He et Bo Qu de Palo Alto Networks (CVE-2018-5023, CVE-2018-5024)

  • Bo Qu de Palo Alto Networks et Heige de l’équipe de sécurité de Knownsec 404 (CVE-2018-5021, CVE-2018-5022, CVE-2018-5025, CVE-2018-5026)