Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour l’application pour postes de travail Creative Cloud

Date de publication : 14 juin 2016

Identifiant de vulnérabilité : APSB16-21

Priorité : 3

Références CVE : CVE-2016-4157, CVE-2016-4158

Plate-forme : Windows

Synthèse

Adobe a publié une mise à jour de sécurité pour l’application de bureau Creative Cloud pour Windows. Cette mise à jour corrige une vulnérabilité de type « chemin de recherche peu fiable » dans le programme d’installation de l’application de bureau Creative Cloud et une vulnérabilité de type « énumération de chemin d’accès sans guillemet » dans l’application elle-même.

Versions concernées

Produit Versions affectées Plate-forme
Application pour postes de travail Creative Cloud Creative Cloud 3.6.0.248 et versions antérieures Windows 

Solution

Adobe attribue à cette mise à jour la priorité suivante et recommande aux utilisateurs concernés de faire passer leurs installations à la dernière version :

Produit Mise à jour Plate-forme Priorité
Application pour postes de travail Creative Cloud Creative Cloud 3.7.0.272 Windows  3

Le programme d’installation de Creative Cloud 3.7.0.272 sera disponible depuis le 13 juin 2016. Pour plus d’informations, consultez la page https://www.adobe.com/fr/creativecloud/desktop-app.html.

Pour les environnements gérés, les administrateurs informatiques peuvent utiliser Creative Cloud Packager pour créer des packs de déploiement, comme décrit dans le processus présenté ici.

Vous pouvez consulter cette page d’aide pour en savoir plus sur Creative Cloud Packager.

Détails concernant la vulnérabilité

  • Cette mise à jour corrige une vulnérabilité dans le chemin de recherche du répertoire utilisé pour identifier des ressources, qui est susceptible d’entraîner l’exécution de code (CVE-2016-4157). 
  • Cette mise à jour corrige une vulnérabilité de type « énumération de chemin d’accès sans guillemet » dans l’application de bureau Creative Cloud (CVE-2016-4158).

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé ces problèmes et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :

  • YoKo Kho et Dicky (@dickysOfficial) de MII - CAS Dept (CVE-2016-4157).
  • Cyril Vallicari / Ug_0 Security et Security team Netservice de Toekomst (CVE-2016-4158).