Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB21-09

Référence du bulletin

Date de publication

Priorité 

APSB21-09

09 février 2021

1

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader sous Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes. Une exploitation réussie peut entraîner l’exécution d’un code arbitraire dans le système de l’utilisateur actuel.       

Adobe a reçu un rapport indiquant que la vulnérabilité CVE-2021-21017 a effectivement été exploitée lors d’attaques limitées ciblant des utilisateurs Adobe Reader sous Windows.

Versions concernées

Produit

Suivi

Versions concernées

Plate-forme

Acrobat DC 

Continuous 

2020.013.20074 et versions antérieures          

Windows et macOS

Acrobat Reader DC

Continuous 

2020.013.20074 et versions antérieures          

Windows et macOS

 

 

 

 

Acrobat 2020

Classicؘ 2020           

2020.001.30018 et versions antérieures

Windows et macOS

Acrobat Reader 2020

Classicؘ 2020           

2020.001.30018 et versions antérieures

Windows et macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 et versions antérieures          

Windows et macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 et versions antérieures          

Windows et macOS

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.     

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit

Suivi

Versions mises à jour

Plate-forme

Priorité

Disponibilité

Acrobat DC

Continuous

2021.001.20135       

Windows et macOS

1

Acrobat Reader DC

Continuous

2021.001.20135   

Windows et macOS

1

 

 

 

 

 

 

Acrobat 2020

Classicؘ 2020           

2020.001.30020 

Windows et macOS     

1

Acrobat Reader 2020

Classicؘ 2020           

2020.001.30020 

Windows et macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows et macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows et macOS

1

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Dépassement de tampon
Déni de service d’application
Importante
CVE-2021-21046
Débordement de mémoire tampon basée sur le tas
Exécution de code arbitraire
Critique
CVE-2021-21017
Path Traversal
Exécution de code arbitraire
Critique
CVE-2021-21037
Débordement d’entier
Exécution de code arbitraire
Critique
CVE-2021-21036
Contrôle d’accès incorrect
Réaffectation de privilèges
Critique
CVE-2021-21045
Lecture hors limites
Réaffectation de privilèges
Importante

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

Utilisation de zone désallouée
Divulgation d’informations
Important
CVE-2021-21061
Écriture hors limites
Exécution de code arbitraire
Critique

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

Dépassement de tampon
Exécution de code arbitraire
Critique

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

Déréférence de pointeur NULL
Divulgation d’informations
Important
CVE-2021-21057
Validation en entrée incorrecte
Divulgation d’informations
Important
CVE-2021-21060
Utilisation de zone désallouée
Exécution de code arbitraire
Critique

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

Support manquant pour le contrôle d’intégrité 
Contournement des fonctions de sécurité Importante

CVE-2021-28545

CVE-2021-28546

Remerciements

Adobe tient à remercier les personnes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients. 

  • Signalement anonyme (CVE-2021-21017)
  • Nipun Gupta, Ashfaq Ansari et Krishnakant Patil - CloudFuzz (CVE-2021-21041)
  • Mark Vincent Yason (@MarkYason) contributeur du projet Zero Day Initiative de Trend Micro (CVE-2021-21042, CVE-2021-21034, CVE-2021-21089)
  • Xu Peng de l’UCAS et Wang Yanhao du QiAnXin Technology Research Institute, contributeurs du projet Zero Day Initiative de Trend Micro (CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021)
  • AIOFuzzer contributeur du projet Zero Day Initiative de Trend Micro (CVE-2021-21044, CVE-2021-21061,  CVE-2021-21088)
  • 360CDSRC lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21037)
  • Will Dormann du CERT/CC (CVE-2021-21045)
  •  Xuwei Liu (shellway) (CVE-2021-21046)
  • 胖 lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21040)
  • 360政企安全漏洞研究院 lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21039)
  • 蚂蚁安全光年实验室基础研究小组 lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21038)
  • CodeMaster lors du Tianfu Cup 2020 International Cybersecurity Contest (CVE-2021-21036)
  •  Xinyu Wan (wxyxsx) (CVE-2021-21057)
  • Haboob Labs (CVE-2021-21060)
  • Ken Hsu de Palo Alto Networks (CVE-2021-21058)
  • Ken Hsu de Palo Alto Networks, Heige (alias SuperHei) de l’équipe Knwonsec 404 (CVE-2021-21059)
  • Ken Hsu, Bo Qu de Palo Alto Networks (CVE-2021-21062)
  • Ken Hsu, Zhibin Zhang de Palo Alto Networks (CVE-2021-21063)
  • Mateusz Jurczyk du projet Google Project Zero (CVE-2021-21086)
  • Simon Rohlmann, Vladislav Mladenov, Christian Mainka et Jörg Schwenk - Chair for Network and Data Security, Ruhr University Bochum (CVE-2021-28545, CVE-2021-28546)

Révisions

10 février 2021 : Remerciements actualisés pour CVE-2021-21058, CVE-2021-21059, CVE-2021-21062, CVE-2021-21063.

10 mars 2021 : Mise à jour des remerciements concernant CVE-2021-21035, CVE-2021-21033, CVE-2021-21028, CVE-2021-21021

17 mars 2021 : Ajout d’informations concernant CVE-2021-21086, CVE-2021-21088 et CVE-2021-21089.

26 mars 2021 : ajout d’informations pour CVE-2021-28545 et CVE-2021-28546.

29 septembre 2021 : ajout d’informations pour CVE-2021-40723.





 

 

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne