Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader | APSB19-49
Référence du bulletin Date de publication Priorité 
APSB19-49 15 octobre 2019 2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques et importantes.  Une exploitation réussie est susceptible d'entraîner l'exécution d'un code arbitraire dans le contexte de l'utilisateur actuel.    

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC  Continuous 

Versions 2019.012.20040 et antérieures  Windows et macOS
Acrobat Reader DC Continuous  Versions 2019.012.20040 et antérieures  Windows et macOS
       
Acrobat 2017 Classic 2017 Versions 2017.011.30148 et antérieures   Windows et macOS
Acrobat Reader 2017 Classic 2017 Versions 2017.011.30148 et antérieures Windows et macOS
       
Acrobat 2015  Classic 2015 Versions 2015.006.30503 et antérieures  Windows et macOS
Acrobat Reader 2015 Classic 2015 Versions 2015.006.30503 et antérieures Windows et macOS

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continuous 2019.021.20047 Windows et macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2019.021.20047
Windows et macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows et macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows et macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows et macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows et macOS 2

Windows

macOS

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Lecture hors limites   Divulgation d’informations   Importante   

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

Écriture hors limites  Exécution de code arbitraire    Critique

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

Utilisation de zone désallouée    Exécution de code arbitraire      Critique

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

CVE-2019-16471

Débordement de tas  Exécution de code arbitraire      Critique

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

Surcharge du tampon Exécution de code arbitraire      Critique CVE-2019-8166
Cross-site scripting, XSS  Divulgation d’informations Importante    CVE-2019-8160
Situation de compétition Exécution de code arbitraire   Critique CVE-2019-8162
Intégration incomplète du mécanisme de sécurité Divulgation d’informations Importante  CVE-2019-8226
Confusion de type Exécution de code arbitraire   Critique

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

Déréférencement d’un pointeur non approuvé Exécution de code arbitraire  Critique

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

Erreurs de mémoire tampon Exécution de code arbitraire  Critique CVE-2019-16470

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :    

  • Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8203, CVE-2019-8208, CVE-2019-8210, CVE-2019-8217, CVE-2019-8219, CVE-2019-8225)
  • Haikuo Xie de Baidu Security Lab pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8209, CVE-2019-8223) 
  • hungtt28 de Viettel Cyber Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8204)
  • Juan Pablo Lopez Yacubian pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8172) 
  • Ke Liu de Tencent Security Xuanwu Lab (CVE-2019-8199, CVE-2019-8200, CVE-2019-8201, CVE-2019-8202, CVE-2019-16471)
  • L4Nce pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8064) 
  • Mat Powell du projet Zero Day Initiative de Trend Micro (CVE-2019-8166, CVE-2019-8175, CVE-2019-8178, CVE-2019-8179, CVE-2019-8180, CVE-2019-8181, CVE-2019-8187, CVE-2019-8188, CVE-2019-8189, CVE-2019-8163, CVE-2019-8190, CVE-2019-8165, CVE-2019-8191)
  • Mateusz Jurczyk du projet Google Project Zero (CVE-2019-8195, CVE-2019-8196, CVE-2019-8197)
  • peternguyen pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8176, CVE-2019-8224) 
  • Steven Seeley (mr_me) de Source Incite pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8170, CVE-2019-8171, CVE-2019-8173, CVE-2019-8174)
  • Heige de l’équipe de sécurité de Knownsec 404 (http://www.knownsec.com/) (CVE-2019-8160) 
  • Xizsmin et Lee JinYoung de Codemize Security Research Lab (CVE-2019-8218)
  • Mipu94 de SEFCOM Lab, Université d’État de l’Arizona (CVE-2019-8211, CVE-2019-8212, CVE-2019-8213, CVE-2019-8214, CVE-2019-8215) 
  • Esteban Ruiz (mr_me) de Source Incite (CVE-2019-8161, CVE-2019-8164, CVE-2019-8167, CVE-2019-8168, CVE-2019-8169, CVE-2019-8182)
  • Ta Dinh Sung de STAR Labs (CVE-2019-8220, CVE-2019-8221) 
  • Behzad Najjarpour Jabbari, Secunia Research de Flexera (CVE-2019-8222)
  • Aleksandar Nikolic de Cisco Talos. (CVE-2019-8183) 
  • Nguyen Hong Quang (https://twitter.com/quangnh89) de Viettel Cyber Security (CVE-2019-8193)
  • Zhiyuan Wang et willJ du Chengdu Security Response Center de Qihoo 360 Technology Co. Ltd. (CVE-2019-8185, CVE-2019-8186) 
  • Yangkang(@dnpushme), Li Qi(@leeqwind) et Yang Jianxiong(@sinkland_) de Qihoo360 CoreSecurity(@360CoreSec) (CVE-2019-8194)
  • Lee JinYoung de Codemize Security Research Lab (http://codemize.co.kr) (CVE-2019-8216) 
  • Bo Qu de Palo Alto Networks et Heige de l’équipe de sécurité de Knownsec 404 (CVE-2019-8205)
  • Zhibin Zhang de Palo Alto Networks (CVE-2019-8206) 
  • Andrew Hart (CVE-2019-8226)
  • peternguyen (meepwn ctf) pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2019-8192, CVE-2019-8177) 
  • Haikuo Xie de Baidu Security Lab (CVE-2019-8184)
  • Zhiniang Peng de Qihoo 360 Core Security et Jiadong Lu de la South China University of Technology (CVE-2019-8162)
  • Zhangqing et Zhiyuan Wang du CDSRC de Qihoo 360 (CVE-2019-16470)

Révision

11 novembre 2019 : ajout d’un remerciement pour CVE-2019-8195 et CVE-2019-8196.

13 février 2020 : ajout d’un remerciement pour CVE-2019-16471 et CVE-2019-16470.