Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB17-24
Date de publication |
Priorité |
|
---|---|---|
APSB17-24 |
8 août 2017 |
2 |
Récapitulatif
Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques et importantes susceptibles de permettre à un pirate de prendre le contrôle du système concerné.
Versions concernées
Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.
Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :
- Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
- Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des
mises à jour sont détectées. - Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
- Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
- Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM
(Windows), ou sur Macintosh, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les niveaux de priorité suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit | Versions mises à jour | Plate-forme | Priorité | Disponibilité |
---|---|---|---|---|
Acrobat DC (suivi continu) | 2017.012.20098 |
Windows et Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC (suivi continu) | 2017.012.20098 | Windows et Macintosh | 2 | Centre de téléchargement |
Acrobat 2017 | 2017.011.30066 | Windows et Macintosh | 2 | Windows Macintosh |
Acrobat Reader 2017 | 2017.011.30066 | Windows et Macintosh | 2 | Windows Macintosh |
Acrobat DC (suivi classique) | 2015.006.30355 |
Windows et Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC (suivi classique) | 2015.006.30355 |
Windows et Macintosh | 2 | Windows Macintosh |
Acrobat XI | 11.0.21 | Windows et Macintosh | 2 | Windows Macintosh |
Reader XI | 11.0.21 | Windows et Macintosh | 2 | Windows Macintosh |
La version 11.0.22 est à la disposition des utilisateurs affectés par la régression fonctionnelle dans les formulaires xfa introduits dans la version 11.0.21 (cliquez ici pour plus de détails). Les versions 11.0.22 et 11.0.21 résolvent toutes les vulnérabilités de sécurité indiquées dans ce bulletin.
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Références CVE |
---|---|---|---|
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-3016 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-3038 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-3113 |
Vérification insuffisante de l’authenticité des données | Divulgation d’informations | Important | CVE-2017-3115 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-3116 |
Débordement de tas | Exécution de code à distance | Critique | CVE-2017-3117 |
Contournement de sécurité | Divulgation d’informations | Important | CVE-2017-3118 |
Corruption de mémoire | Exécution de code à distance | Important | CVE-2017-3119 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-3120 |
Débordement de tas | Exécution de code à distance | Critique | CVE-2017-3121 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-3122 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-3123 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-3124 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11209 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11210 |
Débordement de tas | Exécution de code à distance | Critique | CVE-2017-11211 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11212 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11214 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11216 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11217 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-11218 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-11219 |
Débordement de tas | Exécution de code à distance | Critique | CVE-2017-11220 |
Confusion de type | Exécution de code à distance | Critique | CVE-2017-11221 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11222 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-11223 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-11224 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11226 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11227 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11228 |
Contournement de sécurité | Exécution de code à distance | Important | CVE-2017-11229 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11230 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-11231 |
Utilisation de zone désallouée | Divulgation d’informations | Important | CVE-2017-11232 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11233 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11234 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-11235 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11236 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11237 |
Corruption de mémoire | Divulgation d’informations | Critique | CVE-2017-11238 |
Corruption de mémoire | Divulgation d’informations | Critique | CVE-2017-11239 |
Débordement de tas | Exécution de code à distance | Critique | CVE-2017-11241 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11242 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11243 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11244 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11245 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11246 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11248 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11249 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11251 |
Corruption de mémoire | Divulgation d’informations | Critique | CVE-2017-11252 |
Utilisation de zone désallouée | Exécution de code à distance | Important | CVE-2017-11254 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11255 |
Utilisation de zone désallouée | Exécution de code à distance | Critique | CVE-2017-11256 |
Confusion de type | Exécution de code à distance | Critique | CVE-2017-11257 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11258 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11259 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11260 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11261 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11262 |
Corruption de mémoire | Exécution de code à distance | Important | CVE-2017-11263 |
Corruption de mémoire | Divulgation d’informations | Important | CVE-2017-11265 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11267 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11268 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11269 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11270 |
Corruption de mémoire | Exécution de code à distance | Critique | CVE-2017-11271 |
La vulnérabilité CVE-2017-3038 a été corrigée dans les versions 2017.009.20044 et 2015.006.30306 (avril 2017), mais le correctif était incomplet pour la version 11.0.20. Cette vulnérabilité est désormais entièrement corrigée dans la version 11.0.21 (version d’août 2017).
Remerciements
Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé
ces problèmes et joint leurs efforts aux nôtres pour protéger les clients :
- @vftable pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11211, CVE-2017-11251)
- Aleksandar Nikolic de Cisco Talos (CVE-2017-11263)
- Alex Infuhr de Cure 53 (CVE-2017-11229)
- Ashfaq Ansari de Project Srishti (CVE-2017-11221)
- Ashfaq Ansari de Project Srishti pour sa contribution à l’iDefense Vulnerability Contributor Program (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- Signalement anonyme via le projet Zero Day Initiative de Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Fernando Munoz pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3115)
- Giwan Go de STEALIEN & HIT pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11228, CVE-2017-11230)
- Heige (aussi connu sous l’alias SuperHei) de l’équipe Knwonsec 404 (CVE-2017-11222)
- Jaanus Kp de Clarified Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Jaanus Kp de Clarified Security et Ashfaq Ansari de Project Srishti pour leur contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11231)
- Jihui Lu de Tencent KeenLab (CVE-2017-3119)
- kdot pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Ke Liu de Xuanwu LAB de Tencent pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Ke Liu de Xuanwu LAB de Tencent pour sa contribution au projet Zero Day Initiative de Trend Micro et Steven Seeley (mr_me) d’Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Siberas pour sa contribution au SecuriTeam Secure Disclosure Program de Beyond Security (CVE -2017-11254)
- Richard Warren (CVE-2017-3118)
- riusksk du Tencent Security Platform Department (CVE-2017-3016)
- Sebastian Apelt de Siberas pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Steven Seeley (mr_me) d’Offensive Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Steven Seeley pour sa contribution au SecuriTeam Secure Disclosure Program de Beyond Security(CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226)
- Toan Pham (CVE-2017-3116)
Révisions
29 août 2017 : le tableau Solution a été mis à jour pour refléter les nouvelles mises à jour disponibles à partir du 29 août. Ces mises à jour corrigent une régression fonctionnelle avec la fonctionnalité des formulaires xfa qui affectait certains utilisateurs. Les mises à jour du 29 août résolvent également la vulnérabilité de sécurité CVE-2017-11223.
La vulnérabilité CVE-2017-11223 a été initialement traitée dans les mises à jour du 8 août (versions 2017.012.20093, 2017.011.30059 et 2015.006.30352), mais en raison d'une régression fonctionnelle dans ces versions, des correctifs temporaires ont été proposés mais ils ont supprimé le correctif pour la vulnérabilité CVE-2017-11223. Les mises à jour du 29 août résolvent la régression et proposent un correctif pour la vulnérabilité CVE-2017-11223. Pour plus de détails, consultez cet article de blog.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?