Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader | APSB19-49

Référence du bulletin	Date de publication	Priorité
APSB19-49	15 octobre 2019	2

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques et importantes.  Une exploitation réussie est susceptible d'entraîner l'exécution d'un code arbitraire dans le contexte de l'utilisateur actuel.    

Produit	Suivi	Versions concernées	Plate-forme
Acrobat DC	Continuous	Versions 2019.012.20040 et antérieures	Windows et macOS
Acrobat Reader DC	Continuous	Versions 2019.012.20040 et antérieures	Windows et macOS

Acrobat 2017	Classic 2017	Versions 2017.011.30148 et antérieures	Windows et macOS
Acrobat Reader 2017	Classic 2017	Versions 2017.011.30148 et antérieures	Windows et macOS

Acrobat 2015	Classic 2015	Versions 2015.006.30503 et antérieures	Windows et macOS
Acrobat Reader 2015	Classic 2015	Versions 2015.006.30503 et antérieures	Windows et macOS

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.     
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit	Suivi	Versions mises à jour	Plate-forme	Priorité	Disponibilité
Acrobat DC	Continuous	2019.021.20047	Windows et macOS	2	Windows     macOS
Acrobat Reader DC	Continuous	2019.021.20047	Windows et macOS	2	Windows macOS

Acrobat 2017	Classic 2017	2017.011.30150	Windows et macOS	2	Windows macOS
Acrobat Reader 2017	Classic 2017	2017.011.30150	Windows et macOS	2	Windows macOS

Acrobat 2015	Classic 2015	2015.006.30504	Windows et macOS	2	Windows macOS
Acrobat Reader 2015	Classic 2015	2015.006.30504	Windows et macOS	2	Windows macOS

Catégorie de la vulnérabilité	Impact de la vulnérabilité	Gravité	Référence CVE
Lecture hors limites	Divulgation d’informations	Importante	CVE-2019-8164 CVE-2019-8168 CVE-2019-8172 CVE-2019-8173 CVE-2019-8064 CVE-2019-8182 CVE-2019-8184 CVE-2019-8185 CVE-2019-8189 CVE-2019-8163 CVE-2019-8190 CVE-2019-8193 CVE-2019-8194 CVE-2019-8198 CVE-2019-8201 CVE-2019-8202 CVE-2019-8204 CVE-2019-8207 CVE-2019-8216 CVE-2019-8218 CVE-2019-8222
Écriture hors limites	Exécution de code arbitraire	Critique	CVE-2019-8171 CVE-2019-8186 CVE-2019-8165 CVE-2019-8191 CVE-2019-8199 CVE-2019-8206
Utilisation de zone désallouée	Exécution de code arbitraire	Critique	CVE-2019-8175 CVE-2019-8176 CVE-2019-8177 CVE-2019-8178 CVE-2019-8179 CVE-2019-8180 CVE-2019-8181 CVE-2019-8187 CVE-2019-8188 CVE-2019-8192 CVE-2019-8203 CVE-2019-8208 CVE-2019-8209 CVE-2019-8210 CVE-2019-8211 CVE-2019-8212 CVE-2019-8213 CVE-2019-8214 CVE-2019-8215 CVE-2019-8217 CVE-2019-8219 CVE-2019-8220 CVE-2019-8221 CVE-2019-8223 CVE-2019-8224 CVE-2019-8225 CVE-2019-16471
Débordement de tas	Exécution de code arbitraire	Critique	CVE-2019-8170 CVE-2019-8183 CVE-2019-8197
Surcharge du tampon	Exécution de code arbitraire	Critique	CVE-2019-8166
Cross-site scripting, XSS	Divulgation d’informations	Importante	CVE-2019-8160
Situation de compétition	Exécution de code arbitraire	Critique	CVE-2019-8162
Intégration incomplète du mécanisme de sécurité	Divulgation d’informations	Importante	CVE-2019-8226
Confusion de type	Exécution de code arbitraire	Critique	CVE-2019-8161 CVE-2019-8167 CVE-2019-8169 CVE-2019-8200
Déréférencement d’un pointeur non approuvé	Exécution de code arbitraire	Critique	CVE-2019-8174 CVE-2019-8195 CVE-2019-8196 CVE-2019-8205
Erreurs de mémoire tampon	Exécution de code arbitraire	Critique	CVE-2019-16470

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :    

Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
Haikuo Xie de Baidu Security Lab pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8209, CVE-2019-8223)
hungtt28 de Viettel Cyber Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8204)
Juan Pablo Lopez Yacubian pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8172)
Ke Liu de Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
L4Nce pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8064)
Mat Powell du projet Zero Day Initiative de Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
Mateusz Jurczyk du projet Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
peternguyen pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8176, CVE-2019-8224)
Steven Seeley (mr_me) de Source Incite pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
Heige de l’équipe de sécurité de Knownsec 404 (http://www.knownsec.com/) (CVE-2019-8160)
Xizsmin et Lee JinYoung de Codemize Security Research Lab (CVE-2019-8218)
Mipu94 de SEFCOM Lab, Université d’État de l’Arizona (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215)
Esteban Ruiz (mr_me) de Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
Ta Dinh Sung de STAR Labs (CVE-2019-8220, CVE-2019-8221)
Behzad Najjarpour Jabbari, Secunia Research de Flexera (CVE-2019-8222)
Aleksandar Nikolic de Cisco Talos. (CVE-2019-8183)
Nguyen Hong Quang (https://twitter.com/quangnh89) de Viettel Cyber Security (CVE-2019-8193)
Zhiyuan Wang et willJ du Chengdu Security Response Center de Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186)
Yangkang(@dnpushme), Li Qi(@leeqwind) et Yang Jianxiong(@sinkland_) de Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
Lee JinYoung de Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216)
Bo Qu de Palo Alto Networks et Heige de l’équipe de sécurité de Knownsec 404 (CVE-2019-8205)
Zhibin Zhang de Palo Alto Networks (CVE-2019-8206)
Andrew Hart (CVE-2019-8226)
peternguyen (meepwn ctf) pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8192, CVE-2019-8177)
Haikuo Xie de Baidu Security Lab (CVE-2019-8184)
Zhiniang Peng de Qihoo 360 Core Security et Jiadong Lu de la South China University of Technology (CVE-2019-8162)
Zhangqing et Zhiyuan Wang du CDSRC de Qihoo 360 (CVE-2019-16470)

11 novembre 2019 : ajout d’un remerciement pour CVE-2019-8195 et CVE-2019-8196.

13 février 2020 : ajout d’un remerciement pour CVE-2019-16471 et CVE-2019-16470.

Bulletin de sécurité Adobe

Récapitulatif

Versions concernées

Solution

Détails concernant la vulnérabilité

Remerciements

Révision

Interroger la communauté

En savoir plus