Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Acrobat et Reader  | APSB22-01

Référence du bulletin

Date de publication

Priorité 

APSB22-01

11 janvier 2022

2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent  plusieurs vulnérabilités critiques, importantes et modérées. Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire, une fuite de mémoire, un déni de service sur des applications,  le contournement de fonctions de sécurité et la réaffectation de privilèges. 

Versions concernées

Produit

Suivi

Versions concernées

Plate-forme

Acrobat DC 

Continuous 

21.007.20099 et versions antérieures

Windows

Acrobat Reader DC

Continuous 


21.007.20099 et versions antérieures
 

Windows

Acrobat DC 

Continuous 

21.007.20099 et versions antérieures
     

macOS

Acrobat Reader DC

Continuous 

21.007.20099 et versions antérieures
     

macOS

 

 

 

 

Acrobat 2020

Classicؘ 2020           

20.004.30017 et versions antérieures  

Windows et macOS

Acrobat Reader 2020

Classicؘ 2020           

20.004.30017 et versions antérieures 

Windows et macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30204  et versions antérieures          

Windows et macOS

Acrobat Reader 2017

Classic 2017

17.011.30204  et versions antérieures        
  

Windows et macOS

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC

Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.     

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit

Suivi

Versions mises à jour

Plate-forme

Priorité

Disponibilité

Acrobat DC

Continuous

21.011.20039

Windows et macOS

2

Acrobat Reader DC

Continuous

21.011.20039

Windows et macOS

2

 

 

 

 

 

 

Acrobat 2020

Classicؘ 2020           

20.004.30020

Windows et macOS     

2

Acrobat Reader 2020

Classicؘ 2020           

20.004.30020

Windows et macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

17.011.30207

Windows et macOS

2

Acrobat Reader 2017

Classic 2017

17.011.30207

Windows et macOS

2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Score de base CVSS Vecteur CVSS Référence CVE
Utilisation de zone désallouée (CWE-416) Exécution de code arbitraire  Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44701
Exposition d’informations (CWE-200)
Réaffectation de privilèges Modérée 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44702
Débordement de tampon basé sur des piles (CWE-121) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44703
Utilisation de zone désallouée (CWE-416) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44704
Accès au pointeur non initialisé (CWE-824) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44705
Utilisation de zone désallouée (CWE-416) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44706
Écriture hors limites (CWE-787) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44707
Débordement de tampon basé sur des piles (CWE-122) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44708
Débordement de tampon basé sur des piles (CWE-122) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44709
Utilisation de zone désallouée (CWE-416) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44710
Dépassement d’entier ou arrondi (CWE-190) Exécution de code arbitraire Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-44711
Validation d’entrée incorrecte (CWE-20) Déni de service d’application Importante 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L CVE-2021-44712
Utilisation de zone désallouée (CWE-416) Déni de service d’application Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVE-2021-44713
Violation des principes de design sécurisé (CWE-657) Contournement des fonctions de sécurité Modéré 2.5 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44714
Lecture hors limites (CWE-125) Fuite de mémoire Modéré 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44715
Exposition d’informations (CWE-200)
Réaffectation de privilèges
Modérée 3.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-44739
Déréférencement d’un pointeur NULL (CWE-476) Déni de service d’application Modéré 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44740
Déréférencement d’un pointeur NULL (CWE-476) Déni de service d’application Modéré 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L CVE-2021-44741
Lecture hors limites (CWE-125) Fuite de mémoire Modéré 3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-44742
Lecture hors limites (CWE-125) Exécution de code arbitraire Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45060
Écriture hors limites (CWE-787) Exécution de code arbitraire Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45061
Utilisation de zone désallouée (CWE-416) Exécution de code arbitraire Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45062
Utilisation de zone désallouée (CWE-416) Réaffectation de privilèges Modéré 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N CVE-2021-45063
Utilisation de zone désallouée (CWE-416) Exécution de code arbitraire Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45064
Accès à l’emplacement de la mémoire après la fin du tampon (CWE-788) Fuite de mémoire Importante 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CVE-2021-45067
Écriture hors limites (CWE-787) Exécution de code arbitraire Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-45068

Remerciements

Adobe tient à remercier les personnes/organisations suivantes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Ashfaq Ansari et Krishnakant Patil de HackSys Inc, contributeurs du projet Zero Day Initiative de Trend Micro (CVE-2021-44701)
  • j00sean (j00sean) (CVE-2021-44702, CVE-2021-44739)
  • Kai Lu de ThreatLabz de Zscaler (CVE-2021-44703, CVE-2021-44708, CVE-2021-44709, CVE-2021-44740, CVE-2021-44741)
  • PangU via TianfuCup (CVE-2021-44704)
  • StakLeader via TianfuCup (CVE-2021-44705)
  • bee13oy de Kunlun Lab via TianfuCup (CVE-2021-44706)
  • Vulnerability Research Institute Juvenile Via TianfuCup (CVE-2021-44707)
  • Jaewon Min et Aleksandar Nikolic de Cisco Talos (CVE-2021-44710, CVE-2021-44711)
  • Sanjeev Das (sd001) (CVE-2021-44712)
  • Rocco Calvi (TecR0c) et Steven Seeley de Qihoo 360 (CVE-2021-44713, CVE-2021-44715)
  • chamal (chamal) (CVE-2021-44714)
  • fr0zenrain de Baidu Security (fr0zenrain) (CVE-2021-44742)
  • Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2021-45060, CVE-2021-45061, CVE-2021-45062, CVE-2021-45063 ; CVE-2021-45068, CVE-2021-45064)
  • Ashfaq Ansari (ashfaqansari) (CVE-2021-45067)

Révisions :

12 janvier 2022 : modification des remerciements pour CVE-2021-44706

13 janvier 2022 : modification des remerciements pour CVE-2021-45064, modification des informations CVE pour CVE-2021-44702 et CVE-2021-44739

17 janvier 2022 : modification des remerciements pour CVE-2021-44706

 


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne