Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader

Date de publication : 13 octobre 2015

Dernière mise à jour : 11 décembre 2015 

Identifiant de vulnérabilité : APSB15-24

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2015-5583, CVE-2015-5586, CVE-2015-6683, CVE-2015-6684, CVE-2015-6685, CVE-2015-6686, CVE-2015-6687, CVE-2015-6688, CVE-2015-6689, CVE-2015-6690, CVE-2015-6691, CVE-2015-6692, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6696, CVE-2015-6697, CVE-2015-6698, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6705, CVE-2015-6706, CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7614, CVE-2015-7615, CVE-2015-7616, CVE-2015-7617, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7621, CVE-2015-7622, CVE-2015-7623, CVE-2015-7624, CVE-2015-7650, CVE-2015-8458

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC Continue Versions 2015.008.20082 et antérieures
Windows et Macintosh
Acrobat Reader DC Continue Versions 2015.008.20082 et antérieures
Windows et Macintosh
       
Acrobat DC Standard Versions 2015.006.30060 et antérieures
Windows et Macintosh
Acrobat Reader DC Standard Versions 2015.006.30060 et antérieures
Windows et Macintosh
       
Acrobat XI Postes de travail Versions 11.0.12 et antérieures Windows et Macintosh
Reader XI Postes de travail Versions 11.0.12 et antérieures Windows et Macintosh
       
Acrobat X Postes de travail Versions 10.1.15 et antérieures Windows et Macintosh
Reader X Postes de travail Versions 10.1.15 et antérieures Windows et Macintosh

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC. Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.

Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.
Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continue 2015.009.20069
Windows et Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continue 2015.009.20069
Windows et Macintosh 2 Centre de téléchargement
           
Acrobat DC Standard 2015.006.30094
Windows et Macintosh
2 Windows
Macintosh
Acrobat Reader DC Standard 2015.006.30094
Windows et Macintosh 2 Windows
Macintosh
           
Acrobat XI Postes de travail 11.0.13 Windows et Macintosh 2 Windows
Macintosh
Reader XI Postes de travail 11.0.13 Windows et Macintosh 2 Windows
Macintosh
           
Acrobat X Postes de travail 10.1.16 Windows et Macintosh 2 Windows
Macintosh
Reader X Postes de travail 10.1.16 Windows et Macintosh 2 Windows
Macintosh

Détails concernant la vulnérabilité

  • Ces mises à jour corrigent une vulnérabilité de type « débordement de la mémoire tampon » susceptible d’entraîner la divulgation d’informations (CVE-2015-6692).
  • Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6687, CVE-2015-6684, CVE-2015-6691, CVE-2015-7621, CVE-2015-5586, CVE-2015-6683).
  • Ces mises à jour corrigent des vulnérabilités de type « débordement de la mémoire tampon au niveau du tas » susceptibles d’entraîner l’exécution de code (CVE-2015-6696, CVE-2015-6698, CVE-2015-8458).
  • Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6686, CVE-2015-7622, CVE-2015-7650).
  • Ces mises à jour corrigent des vulnérabilités de type « fuite de mémoire » (CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6697).
  • Ces mises à jour corrigent des vulnérabilités de type « contournement de sécurité » susceptibles d’entraîner la divulgation d’informations (CVE-2015-5583, CVE-2015-6705, CVE-2015-6706, CVE-2015-7624).
  • Ces mises à jour corrigent diverses méthodes utilisées pour contourner certaines restrictions lors de l’exécution de certaines API Javascript (CVE-2015-6707, CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620, CVE-2015-7623, CVE-2015-6713, CVE-2015-6714, CVE-2015-6715).

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • AbdulAziz Hariri du projet Zero Day Initiative d’HP (CVE-2015-6708, CVE-2015-6709, CVE-2015-6710, CVE-2015-6711, CVE-2015-6712, CVE-2015-7614, CVE-2015-7616, CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6697, CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6707)
  • AbdulAziz Hariri et Jasiel Spelman du projet Zero Day Initiative d’HP (CVE-2015-5583, CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704)
  • Alex Inführ de Cure53.de (CVE-2015-6705, CVE-2015-6706)
  • Bill Finlayson de Vectra Networks (CVE-2015-6687)
  • bilou pour sa collaboration avec VeriSign iDefense Labs (CVE-2015-6684)
  • Brian Gorenc du projet Zero Day Initiative d’HP (CVE-2015-6686)
  • Francis Provencher de COSIG (CVE-2015-7622)
  • Jaanus Kp de Clarified Security pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-6696, CVE-2015-6698)
  • Jack Tang de Trend Micro (CVE-2015-6692)
  • James Loureiro de MWR Labs (CVE-2015-6691)
  • Joel Brewer (CVE-2015-7624)
  • kdot pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-7621, CVE-2015-7650)
  • Matt Molinyawe et Jasiel Spelman du projet Zero Day Initiative d’HP (CVE-2015-6716, CVE-2015-6717, CVE-2015-6718, CVE-2015-6719, CVE-2015-6720, CVE-2015-6721, CVE-2015-6722, CVE-2015-6723, CVE-2015-6724, CVE-2015-6725, CVE-2015-7618, CVE-2015-7619, CVE-2015-7620)
  • Matt Molinyawe du projet Zero Day Initiative d’HP (CVE-2015-7623)
  • WanderingGlitch du projet Zero Day Initiative d’HP (CVE-2015-6713, CVE-2015-6714, CVE-2015-6715)
  • Wei Lei et Wu Hongjun de la Nanyang Technological University (CVE-2015-5586)
  • Wei Lei et Wu Hongjun de la Nanyang Technological University en collaboration avec Verisign iDefense Labs (CVE-2015-6683)
  • AbdulAziz Hariri et Jasiel Spelman du projet Zero Day Initiative d’HP pour leurs contributions dans le domaine de la défense en profondeur (CVE-2015-7829)
  • Fritz Sands pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-8458)

Révisions

29 octobre : ajout d’une référence associée à CVE-2015-7829, qui était signalée comme une vulnérabilité affectant Acrobat et Reader, alors qu’elle a pu être corrigée grâce à un correctif de sécurité dans Windows (référence : MS15-090).  Ajout également d’une référence concernant la vulnérabilité CVE-2015-7650, qui a été corrigée dans la version du 13 octobre d’Acrobat et de Reader. Cette information avait été omise par inadvertance des bulletins. 

11 décembre : ajout d’une référence concernant la vulnérabilité CVE-2015-8458, qui a été corrigée dans la version du 13 octobre d’Acrobat et de Reader. Cette information avait été omise par inadvertance des bulletins.