Mises à jour de sécurité disponibles pour Adobe Reader et Acrobat

Date de publication : 9 décembre 2014

Identifiant de vulnérabilité : APSB14-28

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié des mises à jour de sécurité d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à niveau leurs installations vers la dernière version :

  • Les utilisateurs d’Adobe Reader XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
  • Les utilisateurs d’Adobe Reader X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.
  • Les utilisateurs d’Adobe Acrobat XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
  • Les utilisateurs d’Adobe Acrobat X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.

Versions logicielles concernées

  • Adobe Reader XI (11.0.09) et versions 11.x antérieures
  • Adobe Reader X (10.1.12) et versions 10.x antérieures
  • Adobe Reader XI (11.0.09) et versions 11.x antérieures
  • Adobe Reader X (10.1.12) et versions 10.x antérieures 

Solution

Adobe recommande aux utilisateurs d’effectuer la mise à niveau de leurs installations en procédant comme suit :

Adobe Reader

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Adobe Reader pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Les utilisateurs d’Adobe Reader pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Adobe Acrobat Standard et Pro pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Les utilisateurs d’Adobe Acrobat Pro pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Degrés de priorité et de gravité

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version mise à jour Plate-forme Priorité
Adobe Reader 11.0.10
Windows et Macintosh
1
  10.1.13
Windows et Macintosh 1
       
Adobe Acrobat 11.0.10
Windows et Macintosh
1
  10.1.13
Windows et Macintosh
1

Ces mises à niveau corrigent des vulnérabilités critiques du logiciel.

Détails

Adobe a publié des mises à jour de sécurité pour les versions d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à niveau leurs installations vers la dernière version :

  • Les utilisateurs d’Adobe Reader XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
  • Les utilisateurs d’Adobe Reader X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.
  • Les utilisateurs d’Adobe Acrobat XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
  • Les utilisateurs d’Adobe Acrobat X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.

Ces mises à jour corrigent des vulnérabilités de type utilisation de zone désallouée susceptibles d’entraîner l’exécution de code (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).

Ces mises à jour corrigent des vulnérabilités de type débordement de la mémoire tampon basée sur le tas susceptibles d’entraîner l’exécution de code (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).

Ces mises à jour corrigent une vulnérabilité de type « débordement d’entier » susceptible d’entraîner l’exécution de code (CVE-2014-8449).

Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d’entraîner l’exécution de code (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).

Ces mises à jour corrigent une condition de concurrence de type TOCTOU (time-of-check time-of-use) susceptible d’être exploitée pour activer l’accès arbitraire en écriture au système de fichiers (CVE-2014-9150).

Ces mises à jour corrigent la mise en œuvre incorrecte d’une API JavaScript susceptible d’entraîner la divulgation d’informations (CVE-2014-8448, CVE-2014-8451).

Ces mises à jour corrigent une vulnérabilité associée à l’exploitation d’éléments XML externes susceptible d’entraîner une divulgation d’informations (CVE-2014-8452).

Ces mises à jour corrigent une vulnérabilité pouvant être utilisée pour contourner la stratégie de même origine (CVE-2014-8453).  

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Alex Inführ de Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
  • Ashfaq Ansari de Payatu Technologies (CVE-2014-8446)
  • Corbin Souffrant, Armin Buescher et Dan Caselden de FireEye (CVE-2014-8454)
  • Jack Tang de Trend Micro (CVE-2014-8447)
  • James Forshaw du project Google Project Zero (CVE-2014-9150)
  • lokihardt@asrt (CVE-2014-8448)
  • Mateusz Jurczyk du projet Google Project Zero et Gynvael Coldwind du service de sécurité de Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
  • Pedro Ribeiro d’Agile Information Security (CVE-2014-8449)
  • Wei Lei et Wu Hongjun de la Nanyang Technological University (-8445, CVE-2014-, CVE-2014-9165)