Bulletin de sécurité Adobe

Date de publication : 16 septembre 2014

Identifiant de vulnérabilité : APSB14-20

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568

Plates-formes : Windows et Macintosh

Adobe a publié des mises à jour de sécurité d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :

• Les utilisateurs d’Adobe Reader XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
• Pour les utilisateurs d’Adobe Reader X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
• Les utilisateurs d’Adobe Acrobat XI versions  11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
• Pour les utilisateurs d’Adobe Acrobat X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
  

• Adobe Reader XI (11.0.08) et versions 11.x antérieures pour Windows
• Adobe Reader XI (11.0.07) et versions 11.x antérieures pour Macintosh
  
• Adobe Reader X (10.1.11) et versions 10.x antérieures pour Windows
• Adobe Reader X (10.1.10) et versions 10.x antérieures pour Macintosh
  
• Adobe Reader XI (11.0.08) et versions 11.x antérieures pour Windows
• Adobe Reader XI (11.0.07) et versions 11.x antérieures pour Macintosh
  
• Adobe Reader X (10.1.11) et versions 10.x antérieures pour Windows
• Adobe Reader X (10.1.10) et versions 10.x antérieures pour Macintosh
  

Adobe recommande aux utilisateurs d’effectuer la mise à niveau de leurs installations en procédant comme suit :

Adobe Reader

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Adobe Reader pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Les utilisateurs d’Acrobat Reader pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

Adobe Acrobat

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Adobe Acrobat Standard et Pro pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Les utilisateurs d’Adobe Acrobat Pro pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Ces mises à niveau corrigent des vulnérabilités critiques du logiciel.

Adobe a publié des mises à jour de sécurité pour les versions d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :

• Les utilisateurs d’Adobe Reader XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
• Pour les utilisateurs d’Adobe Reader X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
• Les utilisateurs d’Adobe Acrobat XI versions  11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
• Pour les utilisateurs d’Adobe Acrobat X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.

Ces mises à jour corrigent une vulnérabilité de type « utilisation de zone désallouée » susceptible d’entraîner l’exécution de code (CVE-2014-0560).

Ces mises à jour corrigent une vulnérabilité susceptible d'entraîner l'exécution d'un script universel de site à site (UXSS) dans Adobe Reader et Adobe Acrobat sur la plate-forme Macintosh (CVE-2014-0562).

Ces mises à jour corrigent une vulnérabilité potentielle de déni de service associée à une corruption de la mémoire (CVE-2014-0563).

Ces mises à jour corrigent une vulnérabilité de type débordement de tas susceptible d'entraîner l'exécution de code (CVE-2014-0561, CVE-2014-0567).

Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d'entraîner l'exécution de code (CVE-2014-0565, CVE-2014-0566).

Ces mises à jour corrigent une vulnérabilité de type "Contournement de bac à sable (sandbox)" susceptible d’être exploitée pour exécuter du code natif avec une escalade de privilèges sous Windows (CVE-2014-0568).

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

• Wei Lei et Wu Hongjun de la Nanyang Technological University collaborant avec Verisign iDefense Labs (CVE-2014-0560)
• Tom Ferris travaillant sur le projet Zero Day Initiative de HP (CVE-2014-0561)
• Frans Rosen de Detectify (CVE-2014-0562)
• Wei Lei et Wu Hongjun de la Nanyang Technological University (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
• Une personne anonyme ayant signalé le problème via le programme Zero Day Initiative de HP (CVE-2014-0567)
• James Forshaw du project Google Project Zero (CVE-2014-0568)