Référence du bulletin
Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB21-51
|
Date de publication |
Priorité |
---|---|---|
APSB21-51 |
13 juillet 2021 |
2 |
Récapitulatif
Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes. Une exploitation réussie est susceptible d’entraîner l’exécution d’un code arbitraire dans l’environnement de l’utilisateur actuel.
Versions concernées
Suivi |
Versions concernées |
Plate-forme |
Priority rating |
|
Acrobat DC |
Continuous |
2021.005.20054 et versions antérieures |
Windows et macOS |
2 |
Acrobat Reader DC |
Continuous |
2021.005.20054 et versions antérieures |
Windows et macOS |
2 |
|
|
|
|
2 |
Acrobat 2020 |
Classicؘ 2020 |
2020.004.30005 et versions antérieures |
Windows et macOS |
2 |
Acrobat Reader 2020 |
Classicؘ 2020 |
2020.004.30005 et versions antérieures |
Windows et macOS |
2 |
|
|
|
|
2 |
Acrobat 2017 |
Classic 2017 |
2017.011.30197 et versions antérieures |
Windows et macOS |
2 |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 et versions antérieures |
Windows et macOS |
2 |
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :
Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Suivi |
Versions mises à jour |
Plate-forme |
Priorité |
Disponibilité |
|
Acrobat DC |
Continuous |
2021.005.20058 |
Windows et macOS |
2 |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 |
Windows et macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classicؘ 2020 |
2020.004.30006 |
Windows et macOS |
2 |
|
Acrobat Reader 2020 |
Classicؘ 2020 |
2020.004.30006 |
Windows et macOS |
2 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows et macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows et macOS |
2 |
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Score de base CVSS |
Vecteur CVSS |
Référence CVE |
---|---|---|---|---|---|
Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
3,3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
Path Traversal (CWE-22) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
Confusion de type (CWE-843) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
Écriture hors limites (CWE-787) |
Écriture arbitraire dans le système de fichiers |
Critique |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
Lecture hors limites (CWE-125) |
Fuite de mémoire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
Confusion de type (CWE-843) |
Lecture arbitraire dans le système de fichiers |
Importante |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
Débordement de mémoire tampon basée sur le tas (CWE-122) |
Exécution de code arbitraire |
Critique |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
Déréférence de pointeur NULL (CWE-476) |
Déni de service d’application |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
Élément de chemin de recherche non contrôlé (CWE-427) |
Exécution de code arbitraire |
Critique |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
Injection de commande OS (CWE-78) |
Exécution de code arbitraire |
Critique |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
Remerciements
Adobe tient à remercier les personnes/organisations suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- Nipun Gupta, Ashfaq Ansari et Krishnakant Patil de CloudFuzz, contributeurs du projet Trend Micro Zero Day Initiative (CVE-2021-35983)
- Xu Peng de l’UCAS et Wang Yanhao du QiAnXin Technology Research Institute, contributeurs du projet Zero Day Initiative de Trend Micro (CVE-2021-35981, CVE-2021-28638)
- Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
- Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2021-28643, CVE-2021-35986)
- o0xmuhe (CVE-2021-28640)
- Kc Udonsi (@glitchnsec) de Trend Micro Security Research, contributeur du projet Trend Micro Zero Day Initiative (CVE-2021-28639)
- Noah (howsubtle) (CVE-2021-28634)
- xu peng (xupeng_1231) (CVE-2021-28635)
- Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)
Révisions
14 juillet 2021 : Modification des informations de remerciement pour CVE-2021-28640.
15 juillet 2021 : Modification des informations de remerciement pour CVE-2021-35981.
29 juillet 2021 : mise à jour du score de base CVSS et du vecteur CVSS pour CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 juillet 2021 : mise à jour de l’impact, de la sévérité, du score de base CVSS et du vecteur CVSS pour CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644
For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?