Date de publication : 12 avril 2016

Identifiant de vulnérabilité : APSB16-11

Priorité : 2

Référence CVE : CVE-2016-1034

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié une mise à jour de sécurité pour l’application de bureau Creative Cloud pour Windows et Macintosh. Cette mise à jour corrige une vulnérabilité importante au sein du processus de synchronisation pour les bibliothèques Creative Cloud, qui peut être exploitée à distance pour lire et écrire sur des fichiers du système d’un client.  

Versions concernées

Produit Versions affectées Plate-forme
Application de bureau Creative Cloud Creative Cloud versions 3.5.1.209 ou antérieures Windows et Macintosh

Solution

Adobe attribue à cette mise à jour la priorité suivante et recommande aux utilisateurs concernés de faire passer leurs installations à la dernière version :

Produit Mise à jour Plate-forme Priorité
Application de bureau Creative Cloud Creative Cloud 3.6.0.244 Windows et Macintosh 2

Les utilisateurs Creative Cloud peuvent appliquer la mise à jour de l’application en utilisant le processus prévu à cet effet. Pour plus d’informations, consultez la page https://www.adobe.com/fr/creativecloud/desktop-app.html.

Pour les environnements gérés, les administrateurs informatiques peuvent utiliser Creative Cloud Packager pour créer des packs de déploiement, comme décrit dans le processus présenté ici.

Vous pouvez consulter cette page d’aide pour en savoir plus sur Creative Cloud Packager.

Détails concernant la vulnérabilité

Cette mise à jour corrige une vulnérabilité dans l’API JavaScript pour les bibliothèques Creative Cloud, qui peut être exploitée à distance pour lire et écrire sur des fichiers du système du client. (CVE-2016-1034).

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ce problème et avoir joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :

  • Roger Chen de l’Université de Californie à Berkeley pour avoir communiqué le problème de manière indépendante et Lokihardt pour sa participation au programme ZDI de Trend Micro (CVE-2016-1034).