Date de publication : 7 juillet 2016
Dernière mise à jour : 12 septembre 2016
Identifiant de vulnérabilité : APSB16-26
Priorité : 2
Références CVE : CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4215, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4254, CVE-2016-4255, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937, CVE-2016-6938
Plates-formes : Windows et Macintosh
Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.
Produit | Suivi | Versions concernées | Plate-forme |
---|---|---|---|
Acrobat DC | Continue | Versions 15.016.20045 et antérieures |
Windows et Macintosh |
Acrobat Reader DC | Continue | Versions 15.016.20045 et antérieures |
Windows et Macintosh |
Acrobat DC | Standard | Versions 15.006.30174 et antérieures |
Windows et Macintosh |
Acrobat Reader DC | Standard | Versions 15.006.30174 et antérieures |
Windows et Macintosh |
Acrobat XI | Postes de travail | Versions 11.0.16 et antérieures | Windows et Macintosh |
Reader XI | Postes de travail | Versions 11.0.16 et antérieures | Windows et Macintosh |
Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC. Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :
- Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
- Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
- Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
- Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
- Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit | Suivi | Versions mises à jour | Plate-forme | Priorité | Disponibilité |
---|---|---|---|---|---|
Acrobat DC | Continue | 15.017.20050 |
Windows et Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC | Continue | 15.017.20050 |
Windows et Macintosh | 2 | Centre de téléchargement |
Acrobat DC | Standard | 15.006.30198 |
Windows et Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC | Standard | 15.006.30198 |
Windows et Macintosh | 2 | Windows Macintosh |
Acrobat XI | Postes de travail | 11.0.17 | Windows et Macintosh | 2 | Windows Macintosh |
Reader XI | Postes de travail | 11.0.17 | Windows et Macintosh | 2 | Windows Macintosh |
- Ces mises à jour corrigent une vulnérabilité de type « débordement d’entier » susceptible d’entraîner l’exécution de code (CVE-2016-4210).
- Ces mises à jour corrigent une vulnérabilité de type « utilisation de zone désallouée » susceptible d’entraîner l’exécution de code (CVE-2016-4255, CVE-2016-6938).
- Ces mises à jour corrigent une vulnérabilité de type débordement de la mémoire tampon au niveau du tas susceptible d’entraîner une exécution de code (CVE-2016-4209).
- Ces mises à jour corrigent diverses méthodes permettant de contourner les restrictions lors de l’exécution d’API en JavaScript (CVE-2016-4215).
- Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2016-4254, CVE-2016-4191, CVE-2016-4192, CVE-2016-4193, CVE-2016-4194, CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4198, CVE-2016-4199, CVE-2016-4200, CVE-2016-4201, CVE-2016-4202, CVE-2016-4203, CVE-2016-4204, CVE-2016-4205, CVE-2016-4206, CVE-2016-4207, CVE-2016-4208, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250, CVE-2016-4251, CVE-2016-4252, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269, CVE-2016-4270, CVE-2016-6937).
Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- Jaanus Kääp de Clarified Security, Ke Liu de Xuanwu LAB de Tencent et Sébastien Morin de COSIG (CVE-2016-4201)
- Kai Lu de FortiGuard Labs de Fortinet, Jaanus Kääp de Clarified Security, Ke Liu de Xuanwu LAB de Tencent et Sébastien Morin de COSIG (CVE-2016-4203)
- Sébastien Morin de COSIG et Ke Liu de Xuanwu LAB de Tencent (CVE-2016-4208)
- Jaanus Kääp de Clarified Security (CVE-2016-4252)
- Wei Lei Sun Zhihao et Liu Yang de la Nanyang Technological University pour leur contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4198)
- Alex Inführ et Masato Kinugawa de Cure53 (CVE-2016-4215)
- Ke Liu de Xuanwu LAB de Tencent (CVE-2016-4254, CVE-2016-4193, CVE-2016-4194, CVE-2016-4209, CVE-2016-4210, CVE-2016-4211, CVE-2016-4212, CVE-2016-4213, CVE-2016-4214, CVE-2016-4250)
- AbdulAziz Hariri pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4195, CVE-2016-4196, CVE-2016-4197, CVE-2016-4199, CVE-2016-4200, CVE-2016-4202)
- Sébastien Morin de COSIG (CVE-2016-4206, CVE-2016-4207)
- kdot pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4191, CVE-2016-4268, CVE-2016-4270)
- Stanko Jankovic (CVE-2016-4192)
- Jaanus Kääp de Clarified Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4255, CVE-2016-4251)
- Sébastien Morin and Pier-Luc Maltais de COSIG (CVE-2016-4204, CVE-2016-4205)
- Steven Seeley de Source Incite pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4269, CVE-2016-6937, CVE-2016-6938)
12 juillet 2016 : CVE-2016-4189 et CVE-2016-4190 sont remplacés par CVE-2016-4254 et CVE-2016-4255, respectivement.
23 août 2016 : ajout des références CVE-2016-4265, CVE-2016-4266, CVE-2016-4265, CVE-2016-4266, CVE-2016-4267, CVE-2016-4268, CVE-2016-4269 et CVE-2016-4270, qui ont été omises par inadvertance du bulletin.
12 septembre 2016 : ajout des références CVE-2016-6937 et CVE-2016-6938, qui ont été omises par inadvertance du bulletin.