Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Reader et Acrobat

Date de publication : 16 septembre 2014

Identifiant de vulnérabilité : APSB14-20

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié des mises à jour de sécurité d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :

  • Les utilisateurs d’Adobe Reader XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
  • Pour les utilisateurs d’Adobe Reader X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
  • Les utilisateurs d’Adobe Acrobat XI versions  11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
  • Pour les utilisateurs d’Adobe Acrobat X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.

Versions logicielles concernées

  • Adobe Reader XI (11.0.08) et versions 11.x antérieures pour Windows
  • Adobe Reader XI (11.0.07) et versions 11.x antérieures pour Macintosh
  • Adobe Reader X (10.1.11) et versions 10.x antérieures pour Windows
  • Adobe Reader X (10.1.10) et versions 10.x antérieures pour Macintosh
  • Adobe Reader XI (11.0.08) et versions 11.x antérieures pour Windows
  • Adobe Reader XI (11.0.07) et versions 11.x antérieures pour Macintosh
  • Adobe Reader X (10.1.11) et versions 10.x antérieures pour Windows
  • Adobe Reader X (10.1.10) et versions 10.x antérieures pour Macintosh

Solution

Adobe recommande aux utilisateurs d’effectuer la mise à niveau de leurs installations en procédant comme suit :

Adobe Reader

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Adobe Reader pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Les utilisateurs d’Acrobat Reader pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Adobe Acrobat Standard et Pro pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Les utilisateurs d’Adobe Acrobat Pro pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Degrés de priorité et de gravité

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version mise à jour Plate-forme Priorité
Adobe Reader XI 11.0.09
Windows et Macintosh
1
Adobe Reader X 10.1.12
Windows et Macintosh 1
Adobe Acrobat XI 11.0.09
Windows et Macintosh
1
Adobe Acrobat X
10.1.12
Windows et Macintosh
1

Ces mises à niveau corrigent des vulnérabilités critiques du logiciel.

Détails

Adobe a publié des mises à jour de sécurité pour les versions d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :

  • Les utilisateurs d’Adobe Reader XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
  • Pour les utilisateurs d’Adobe Reader X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
  • Les utilisateurs d’Adobe Acrobat XI versions  11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
  • Pour les utilisateurs d’Adobe Acrobat X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.

Ces mises à jour corrigent une vulnérabilité de type « utilisation de zone désallouée » susceptible d’entraîner l’exécution de code (CVE-2014-0560).

Ces mises à jour corrigent une vulnérabilité susceptible d'entraîner l'exécution d'un script universel de site à site (UXSS) dans Adobe Reader et Adobe Acrobat sur la plate-forme Macintosh (CVE-2014-0562).

Ces mises à jour corrigent une vulnérabilité potentielle de déni de service associée à une corruption de la mémoire (CVE-2014-0563).

Ces mises à jour corrigent une vulnérabilité de type débordement de tas susceptible d'entraîner l'exécution de code (CVE-2014-0561, CVE-2014-0567).

Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d'entraîner l'exécution de code (CVE-2014-0565, CVE-2014-0566).

Ces mises à jour corrigent une vulnérabilité de type "Contournement de bac à sable (sandbox)" susceptible d’être exploitée pour exécuter du code natif avec une escalade de privilèges sous Windows (CVE-2014-0568).

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Wei Lei et Wu Hongjun de la Nanyang Technological University collaborant avec Verisign iDefense Labs (CVE-2014-0560)
  • Tom Ferris travaillant sur le projet Zero Day Initiative de HP (CVE-2014-0561)
  • Frans Rosen de Detectify (CVE-2014-0562)
  • Wei Lei et Wu Hongjun de la Nanyang Technological University (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
  • Une personne anonyme ayant signalé le problème via le programme Zero Day Initiative de HP (CVE-2014-0567)
  • James Forshaw du project Google Project Zero (CVE-2014-0568)