Bulletin de sécurité Adobe
Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB19-55
Référence du bulletin Date de publication Priorité 
APSB19-55 10 décembre 2019 2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques et importantes.  Une exploitation réussie est susceptible d'entraîner l'exécution d'un code arbitraire dans le contexte de l'utilisateur actuel.    

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC  Continuous 

2019.021.20056 et versions antérieures  Windows et macOS
Acrobat Reader DC Continuous   2019.021.20056 et versions antérieures  Windows et macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 et versions antérieures Windows 
Acrobat 2017 Classic 2017 2017.011.30155 et versions antérieures macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 et versions antérieures Windows et macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 et versions antérieures Windows et macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 et versions antérieures Windows et macOS

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continuous 2019.021.20058 Windows et macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20058
Windows et macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows et macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows et macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows et macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows et macOS 2

Windows

macOS

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Lecture hors limites   Divulgation d’informations   Importante   

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

Écriture hors limites  Exécution de code arbitraire    Critique

CVE-2019-16450

CVE-2019-16454

Utilisation de zone désallouée    Exécution de code arbitraire      Critique

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

Débordement de tas  Exécution de code arbitraire      Critique CVE-2019-16451
Erreur de mémoire tampon Exécution de code arbitraire      Critique CVE-2019-16462
Déréférencement d’un pointeur non approuvé Exécution de code arbitraire  Critique

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

Plantage binaire (Réaffectation de privilèges des dossiers par défaut) Réaffectation de privilèges Importante  CVE-2019-16444
Contournement de sécurité Exécution de code arbitraire Critique CVE-2019-16453

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :    

  • Mateusz Jurczyk du projet Google Project Zero et une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-16451)

  • Honc (章哲瑜) (CVE-2019-16444) 

  • Ke Liu de Tencent Security Xuanwu Lab. (CVE-2019-16445, CVE-2019-16449, CVE-2019-16450, CVE-2019-16454)

  • Sung Ta (@Mipu94) de SEFCOM Lab, Université d’État de l’Arizona (CVE-2019-16446, CVE-2019-16448) 

  • Aleksandar Nikolic de Cisco Talos (CVE-2019-16463)

  • Équipe de support technique de HTBLA Leonding (CVE-2019-16453) 

  • Haikuo Xie de Baidu Security Lab (CVE-2019-16461)

  • Bit de STAR Labs (CVE-2019-16452)

  • Xinyu Wan et Yiwei Zhang de l’Université Renmin de Chine (CVE-2019-16455, CVE-2019-16460, CVE-2019-16462)

  • Bo Qu de Palo Alto Networks et Heige de l’équipe de sécurité de Knownsec 404 (CVE-2019-16456) 

  • Zhibin Zhang de Palo Alto Networks (CVE-2019-16457)

  • Qi Deng et Ken Hsu de Palo Alto Networks (CVE-2019-16458) 

  • Lexuan Sun et Hao Cai de Palo Alto Networks (CVE-2019-16459)

  • Yue Guan et Haozhe Zhang de Palo Alto Networks (CVE-2019-16464) 

  • Hui Gao de Palo Alto networks (CVE-2019-16465)

  • Zhibin Zhang et Yue Guan de Palo Alto Networks (CVE-2019-16465)