Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB21-55

Référence du bulletin

Date de publication

Priorité 

APSB21-55

14 septembre 2021

2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques, importantes et modérées. Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire dans l’environnement de l’utilisateur actuel.  

 

Versions concernées

Produit

Suivi

Versions concernées

Plate-forme

Acrobat DC 

Continuous 

2021.005.20060 et versions antérieures          

Windows

Acrobat Reader DC

Continuous 

2021.005.20060 et versions antérieures          

Windows

Acrobat DC 

Continuous 

2021.005.20058 et versions antérieures          

macOS

Acrobat Reader DC

Continuous 

2021.005.20058 et versions antérieures          

macOS

 

 

 

 

Acrobat 2020

Classicؘ 2020           

2020.004.30006 et versions antérieures

Windows et macOS

Acrobat Reader 2020

Classicؘ 2020           

2020.004.30006 et versions antérieures

Windows et macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  et versions antérieures          

Windows et macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  et versions antérieures          

Windows et macOS

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.     

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit

Suivi

Versions mises à jour

Plate-forme

Priorité

Disponibilité

Acrobat DC

Continuous

2021.007.20091 

Windows et macOS

2

Acrobat Reader DC

Continuous

2021.007.20091 

Windows et macOS

2

 

 

 

 

 

 

Acrobat 2020

Classicؘ 2020           

2020.004.30015

Windows et macOS     

2

Acrobat Reader 2020

Classicؘ 2020           

2020.004.30015

Windows et macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows et macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows et macOS

2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Score de base CVSS 
Vecteur CVSS
Référence CVE

Confusion de type (CWE-843)

Exécution de code arbitraire

Critique 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

Débordement de mémoire tampon basée sur le tas

(CWE-122)

Exécution de code arbitraire

Critique  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

Exposition d’informations

(CWE-200)

Lecture arbitraire dans le système de fichiers

Modéré

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

Lecture hors limites

(CWE-125)

Fuite de mémoire

Critique   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

Lecture hors limites

(CWE-125)

Fuite de mémoire

Importante

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

Lecture hors limites

(CWE-125)

Lecture arbitraire dans le système de fichiers

Modéré

3,3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

Écriture hors limites

(CWE-787)

Fuite de mémoire

Critique 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

Débordement de mémoire tampon associée à la pile 

(CWE-121)

Exécution de code arbitraire

Critique   

7,7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

Élément de chemin de recherche non contrôlé

(CWE-427)

Exécution de code arbitraire

Important 

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

Utilisation de zone désallouée

(CWE-416)

Exécution de code arbitraire

Importante

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

Utilisation de zone désallouée

(CWE-416)

Exécution de code arbitraire

Critique 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

Déréférencement d’un pointeur NULL (CWE-476)

Fuite de mémoire

Importante

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

Déréférencement d’un pointeur NULL (CWE-476)

Déni de service d’application

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

Déréférencement d’un pointeur NULL (CWE-476)

Déni de service d’application

Importante

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

Déréférencement d’un pointeur NULL (CWE-476)

Déni de service d’application

Importante  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

Utilisation de zone désallouée

(CWE-416)

Exécution de code arbitraire
Critique   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

Utilisation de zone désallouée

(CWE-416)

Exécution de code arbitraire
Critique   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

Remerciements

Adobe tient à remercier les personnes/organisations suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :  

  • Mark Vincent Yason (@MarkYason) pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
  • Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
  • Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
  • XuPeng de UCAS et Ying Lingyun de QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
  • j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
  • Exodus Intelligence (exodusintel.com) et Andrei Stefan (CVE-2021-39863)
  • Qiao Li de Baidu Security Lab pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2021-39858)

Révisions

20 septembre 2021 : Modification des informations de remerciement pour CVE-2021-35982.

28 septembre 2021 : Modification des informations de remerciement pour CVE-2021-39863.

5 octobre 2021 : modification du score de base CVSS, du vecteur CVSS et de la gravité pour CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Ajout de données et de remerciements pour CVE-2021-40725 et CVE-2021-40726.

18 janvier 2022 : modification des informations de remerciement pour CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849



 

 


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne