Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader | APSB19-07
Référence du bulletin Date de publication Priorité 
APSB19-07 12 février 2019 2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques et importantes.  Une exploitation réussie est susceptible d'entraîner l'exécution d'un code arbitraire dans le contexte de l'utilisateur actuel.    

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC  Continue 
Versions 2019.010.20069 et antérieures 
Windows et macOS
Acrobat Reader DC Continue
Versions 2019.010.20069 et antérieures Windows et macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 et version antérieure Windows et macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 et version antérieure Windows et macOS
       
Acrobat DC  Classic 2015 Versions 2015.006.30464 et antérieures  Windows et macOS
Acrobat Reader DC  Classic 2015 Versions 2015.006.30464 et antérieures  Windows et macOS

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.  

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les niveaux de priorité suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continue 2019.010.20091 Windows et macOS 2 Windows

macOS
Acrobat Reader DC Continue 2019.010.20091
Windows et macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows et macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows et macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows et macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows et macOS 2 Windows

macOS

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Erreurs de mémoire tampon Exécution de code arbitraire  Critique 

CVE-2019-7020

CVE-2019-7085

Fuite de données (sensibles) Divulgation d’informations Critique  CVE-2019-7089
Double Free Exécution de code arbitraire  Critique  CVE-2019-7080
Débordement d’entier Divulgation d’informations Critique  CVE-2019-7030
Lecture hors limites Divulgation d’informations Important

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074 

CVE-2019-7081

Contournement de sécurité Réaffectation de privilèges Critique 

CVE-2018-19725

CVE-2019-7041

Écriture hors limites Exécution de code arbitraire  Critique 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

Confusion de type Exécution de code arbitraire   Critique

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

Déréférencement d’un pointeur non approuvé Exécution de code arbitraire    Critique

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

Utilisation de zone désallouée  Exécution de code arbitraire   Critique 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Sebastian Apelt  via le projet Zero Day Initiative de Trend Micro (CVE-2019-7044, CVE-2019-7045, CVE-2019-7048) 

  • Abdul-Aziz Hariri via le projet Zero Day Initiative de Trend Micro (CVE-2018-19725, CVE-2019-7041) 

  • Linan Hao et Zhenjie Jia de l’équipe Qihoo 360 Vulcan (CVE-2019-7018, CVE-2019-7019, CVE-2019-7020, CVE-2019-7021, CVE-2019-7022, CVE-2019-7023, CVE-2019-7024, CVE-2019-7029)

  • @j00sean pour sa collaboration avec iDefense Labs (CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Aleksandar Nikolic de Cisco Talos. (CVE-2019-7039)

  • Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-7077)

  • Gal De Leon de Palo Alto Network (CVE-2019-7025) 

  • Juan Pablo Lopez Yacubian pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-7078)

  • kdot pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-7049)

  • Ke Liu de Tencent Security Xuanwu Lab (CVE-2019-7033, CVE-2019-7034, CVE-2019-7035, CVE-2019-7036, CVE-2019-7037, CVE-2019-7038, CVE-2019-7047)

  • Mat Powell du projet Zero Day Initiative de Trend Micro (CVE-2019-7071, CVE-2019-7072, CVE-2019-7073, CVE-2019-7074, CVE-2019-7075)

  • Yoav Alon et Netanel Ben-Simon de Check Point Research (CVE-2019-7080, CVE-2019-7081)

  • Steven Seeley via le projet Zero Day Initiative de Trend Micro (CVE-2019-7069, CVE-2019-7070)

  • T3rmin4t0r pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-7042, CVE-2019-7043)

  • Steven Seeley (mr_me) de Source Incite pour sa collaboration avec iDefense Labs (CVE-2019-7084, CVE-2019-7085, CVE-2019-7086, CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031, CVE-2019-7032)

  • Xu Peng et Su Purui du TCA/SKLCS Institute of Software Chinese Academy of Sciences (CVE-2019-7076)

  • Zhenjie Jia de l’équipe Qihoo 360 Vulcan (CVE-2019-7062, CVE-2019-7063, CVE-2019-7064, CVE-2019-7067)

  • Zhiyuan Wang du Chengdu Security Response Center de Qihoo 360 Technology Co. Ltd pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-7079)

  • Bo Qu de Palo Alto Networks et Heige de l’équipe de sécurité Knownsec 404 (CVE-2019-7065, CVE-2019-7066, CVE-2019-7068)

  • Zhibin Zhang de Palo Alto Networks (CVE-2019-7026, CVE-2019-7027, CVE-2019-7028, CVE-2019-7082)

  • Qi Deng de Palo Alto Networks (CVE-2019-7046, CVE-2019-7050, CVE-2019-7051, CVE-2019-7083)

  • Hui Gao de Palo Alto Networks (CVE-2019-7052, CVE-2019-7053, CVE-2019-7054) 

  • Zhaoyan Xu de Palo Alto Networks (CVE-2019-7055, CVE-2019-7056, CVE-2019-7057)

  • Zhanglin He de Palo Alto Networks (CVE-2019-7058, CVE-2019-7059, CVE-2019-7060)