Bulletin de sécurité pour Adobe Acrobat et Reader | APSB19-41
Référence du bulletin Date de publication Priorité 
APSB19-41 13 août 2019 2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités importantes. Une exploitation réussie est susceptible d'entraîner l'exécution d'un code arbitraire dans le contexte de l'utilisateur actuel.    

Versions concernées

Ces mises à jour corrigeront des vulnérabilités importantes du logiciel. Adobe assignera les niveaux de priorité suivants pour ces mises à jour :

Produit Suivi Versions concernées Plate-forme
Acrobat DC  Continuous 

Versions 2019.012.20034 et antérieures  macOS
Acrobat DC  Continuous  Versions 2019.012.20035 et antérieures Windows
Acrobat Reader DC Continuous

Versions 2019.012.20034 et antérieures  macOS
Acrobat Reader DC Continuous  Versions 2019.012.20035 et antérieures  Windows
       
Acrobat DC  Classic 2017 Versions 2017.011.30142 et antérieures   macOS
Acrobat DC  Classic 2017 Versions 2017.011.30143 et antérieures Windows
Acrobat Reader DC Classic 2017 versions 2017.011.30142 et antérieures  macOS
Acrobat Reader DC Classic 2017 Versions 2017.011.30143 et antérieures Windows
       
Acrobat DC  Classic 2015 Versions 2015.006.30497 et antérieures  macOS
Acrobat DC  Classic 2015 Versions 2015.006.30498 et antérieures Windows
Acrobat Reader DC  Classic 2015 Versions 2015.006.30497 et antérieures  macOS
Acrobat Reader DC Classic 2015 Versions 2015.006.30498 et antérieures Windows

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continuous 2019.012.20036 Windows et macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.012.20036

Windows et macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows et macOS 2

Windows

macOS

Acrobat Reader DC Classic 2017 2017.011.30144 Windows et macOS 2

Windows

macOS

           
Acrobat DC Classic 2015 2015.006.30499 Windows et macOS 2

Windows

macOS

Acrobat Reader DC Classic 2015 2015.006.30499 Windows et macOS 2

Windows

macOS

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE

Lecture hors limites   

 

 

Divulgation d’informations   

 

 

Importante   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

Écriture hors limites   

 

 

Exécution de code arbitraire    

 

 

Importante  

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

Injection de commandes  Exécution de code arbitraire   Importante  CVE-2019-8060

Utilisation de zone désallouée   

 

 

Exécution de code arbitraire     

 

 

Importante 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057

CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

CVE-2019-8257

Débordement de tas 

 

 

Exécution de code arbitraire     

 

 

Importante 

 

 

CVE-2019-8066

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

Erreur de mémoire tampon  Exécution de code arbitraire       Importante   CVE-2019-8048
Double Free  Exécution de code arbitraire      Importante    CVE-2019-8044 
Débordement d’entier Divulgation d’informations Importante 

CVE-2019-8099

CVE-2019-8101

Divulgation d’adresses IP internes Divulgation d’informations Importante  CVE-2019-8097
Confusion de type Exécution de code arbitraire   Importante 

CVE-2019-8019 

CVE-2019-8249

CVE-2019-8250

Déréférencement d’un pointeur non approuvé

 

 

Exécution de code arbitraire 

 

 

Importante 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

Chiffrement insuffisamment robuste Contournement des fonctions de sécurité Critique CVE-2019-8237
Confusion de type Divulgation d’informations Important

CVE-2019-8251

CVE-2019-8252

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :    

  • Dhanesh Kizhakkinan de FireEye Inc. (CVE-2019-8066) 
  • Xu Peng et Su Purui de TCA/SKLCS Institute of Software Chinese Academy of Sciences et Codesafe Team de Legendsec du Qi’anxin Group (CVE-2019-8029, CVE-2019-8030, CVE-2019-8031) 
  • (A.K.) Karim Zidani, chercheur indépendant en sécurité ; https://imAK.xyz/ (CVE-2019-8097)
  • Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8033, CVE-2019-8037)  
  • BUGFENSE Anonymous Bug Bounties https://bugfense.io (CVE-2019-8015) 
  • Haikuo Xie de Baidu Security Lab pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8035, CVE-2019-8257) 
  • Wei Lei de STAR Labs (CVE-2019-8009, CVE-2019-8018, CVE-2019-8010, CVE-2019-8011) 
  • Li Qi (@leeqwind), Wang Lei (@CubestoneW) et Liao Bangjie (@b1acktrac3) de Qihoo360 CoreSecurity (@360CoreSec) (CVE-2019-8012) 
  • Ke Liu de Tencent Security Xuanwu Lab (CVE-2019-8094, CVE-2019-8095, CVE-2019-8096, CVE-2019-8004, CVE-2019-8005, CVE-2019-8006, CVE-2019-8077, CVE-2019-8003, CVE-2019-8020, CVE-2019-8021, CVE-2019-8022, CVE-2019-8023) 
  • Haikuo Xie de Baidu Security Lab (CVE-2019-8032, CVE-2019-8036) 
  • ktkitty (https://ktkitty.github.io) pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8014) 
  • Mat Powell du projet Zero Day Initiative de Trend Micro (CVE-2019-8008, CVE-2019-8051, CVE-2019-8053, CVE-2019-8054, CVE-2019-8056, CVE-2019-8057, CVE-2019-8058, CVE-2019-8059) 
  • Mateusz Jurczyk du projet Google project zero (CVE -2019-8041, CVE -2019-8042, CVE -2019-8043, CVE -2019-8044, CVE -2019-8045, CVE -2019-8046, CVE -2019-8047, CVE -2019-8048, CVE -2019-8049, CVE -2019-8050, CVE -2019-8016, CVE -2019-8017) 
  • Michael Bourque (CVE-2019-8007) 
  • peternguyen pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8013, CVE-2019-8034) 
  • Simon Zuckerbraun du projet Zero Day Initiative de Trend Micro (CVE-2019-8027) 
  • Steven Seeley (mr_me) de Source Incite pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8019) 
  • Steven Seeley (mr_me) de Source Incite en collaboration avec iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8098, CVE-2019-8099, CVE-2019-8100, CVE-2019-8101, CVE-2019-8102, CVE-2019-8103, CVE-2019-8104, CVE-2019-8106, CVE-2019-7965, CVE-2019-8105) 
  • willJ pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8040, CVE-2019-8052) 
  • Esteban Ruiz (mr_me) de Source Incite pour sa collaboration avec iDefense Labs (https://vcp.idefense.com/) (CVE-2019-8002) 
  • Bo Qu de Palo Alto Networks et Heige de l’équipe de sécurité de Knownsec 404 (CVE-2019-8024, CVE-2019-8061, CVE-2019-8055) 
  • Zhaoyan Xu, Hui Gao de Palo Alto Networks (CVE-2019-8026, CVE-2019-8028) 
  • Lexuan Sun, Hao Cai de Palo Alto Networks (CVE-2019-8025) 
  • Bit de STARLabs pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8038, CVE-2019-8039)
  • Zhongcheng Li(CK01) de Topsec Alpha Team (CVE-2019-8060)
  • Jens Müller (CVE-2019-8237)
  • Steven Seeley (mr_me) de Source Incite (CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252)

Révision

14 août 2019 : ajout d’un remerciement pour CVE-2019-8016 et CVE-2019-8017.

22 Août 2019 : Id mise à jour de référence CVE -2019-7832 à CVE -2019-8066.

26 septembre 2019 : ajout d’un remerciement pour CVE-2019-8060.

23 octobre 2019 : informations ajoutées concernant CVE-2019-8237.

19 novembre 2019 : informations ajoutées concernant CVE-2019-8249, CVE-2019-8250, CVE-2019-8251, CVE-2019-8252

10 décembre 2019 : informations ajoutées concernant CVE-2019-8257.