Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour le SDK Adobe XMP Toolkit | APSB21-65

Référence du bulletin

Date de publication

Priorité 

APSB21-65

17 août 2021

3

Récapitulatif

Adobe a publié des mises à jour pour le SDK XMP-Toolkit. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes.Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire dans l’environnement de l’utilisateur actuel.                              

Versions concernées

Produit

Versions affectées

Plate-forme

SDK Adobe XMP-Toolkit

2020.1 et versions antérieures   

Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs de mettre à jour leurs installations avec les dernières versions des logiciels. 

Produit

Mise à jour

Plate-forme

Priorité

Disponibilité

SDK Adobe XMP-Toolkit   

2021.07  

Toutes 

3

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

CVSS base score 

Référence CVE

Lecture hors limites

(CWE-125)

Lecture arbitraire dans le système de fichiers

Critique 

7.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

CVE-2021-36045

Access of Memory Location After End of Buffer

(CWE-788)

Arbitrary code execution

Critical 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36046

Improper Input Validation

(CWE-20)

Arbitrary code execution

Critical 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36047

CVE-2021-36048

Heap-based Buffer Overflow

(CWE-122)

Arbitrary code execution

Critical 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36050

CVE-2021-36051

Access of Memory Location After End of Buffer

(CWE-788)

Arbitrary code execution

Critical 

8.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36052

Out-of-bounds Read

(CWE-125)

Application denial-of-service

Important

5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

CVE-2021-36053

Heap-based Buffer Overflow

(CWE-122)

Application denial-of-service

Important

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

CVE-2021-36054

Use After Free

(CWE-416)

Application denial-of-service

Important

6.1

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

CVE-2021-36055

CVE-2021-36056

Write-what-where Condition

(CWE-123)

Arbitrary code execution

Important

4.7

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-36057

Buffer Underwrite ('Buffer Underflow') (CWE-124)

Arbitrary code execution

Critical 

8.4

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-36064

Integer Overflow or Wraparound

(CWE-190)

Application denial-of-service

Important

6.6

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H

CVE-2021-36058

Remerciements

Adobe tient à remercier les personnes/organisations suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients : 

  • CFF de l’équipe Alpha Topsec (cff_123) (CVE-2021-36052, CVE-2021-36064)
  • CQY de l’équipe Topsec Alpha (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)

Révision

1er septembre 2021 : mise à jour du score de base CVSS et du vecteur CVSS pour CVE-2021-36064 et CVE-2021-36052.

                                  ajout d’informations pour CVE-2021-39847. 

                                  mise à jour des informations de remerciement pour yjdfy.    

27 septembre 2021 : mise à jour du score de base CVSS pour CVE-2021-36058 et CVE-2021-36054. Catégorie de vulnérabilité mise à jour pour CVE-2021-36056. Remerciements mis à jour pour CVE-2021-36058.


 


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?