Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader

Date de publication : 7 janvier 2016

Dernière mise à jour : 27 avril 2016

Identifiant de vulnérabilité : APSB16-02

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2016-0931, CVE-2016-0932, CVE-2016-0933, CVE-2016-0934, CVE-2016-0935, CVE-2016-0936, CVE-2016-0937, CVE-2016-0938, CVE-2016-0939, CVE-2016-0940, CVE-2016-0941, CVE-2016-0942, CVE-2016-0943, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946, CVE-2016-0947, CVE-2016-1111

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC Continue Versions 15.009.20077 et antérieures
Windows et Macintosh
Acrobat Reader DC Continue Versions 15.009.20077 et antérieures
Windows et Macintosh
       
Acrobat DC Standard Versions 15.006.30097 et antérieures
Windows et Macintosh
Acrobat Reader DC Standard Versions 15.006.30097 et antérieures
Windows et Macintosh
       
Acrobat XI Postes de travail Versions 11.0.13 et antérieures Windows et Macintosh
Reader XI Postes de travail Versions 11.0.13 et antérieures Windows et Macintosh

Remarque : comme indiqué dans cet article de blog, Adobe Acrobat X et Adobe Reader X ne sont plus pris en charge.  Adobe recommande aux utilisateurs d’installer Adobe Acrobat DC et Adobe Acrobat Reader DC pour bénéficier des dernières fonctions et mises à jour de sécurité.

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC. Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.   

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.

Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes : 

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour. 
  • Lorsque des mises à jour sont détectées, les produits sont automatiquement actualisés sans nécessiter l’intervention de l’utilisateur. 
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader

Pour les administrateurs informatiques (environnements gérés) :  

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés. 
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.
Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continue 15.010.20056
Windows et Macintosh
2 Windows
Macintosh
Acrobat Reader DC Continue 15.010.20056
Windows et Macintosh 2 Centre de téléchargement
           
Acrobat DC Standard 15.006.30119
Windows et Macintosh 2 Windows
Macintosh
Acrobat Reader DC Standard 15.006.30119
Windows et Macintosh 2 Windows
Macintosh
           
Acrobat XI Postes de travail 11.0.14 Windows et Macintosh 2 Windows
Macintosh
Reader XI Postes de travail 11.0.14 Windows et Macintosh 2 Windows
Macintosh

Détails concernant la vulnérabilité

  • Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2016-0932, CVE-2016-0934, CVE-2016-0937, CVE-2016-0940, CVE-2016-0941). 
  • Ces mises à jour corrigent des vulnérabilités de type « double-free » susceptibles d’entraîner l’exécution de code (CVE-2016-0935, CVE-2016-1111). 
  • Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d’entraîner l’exécution de code (CVE-2016-0931, CVE-2016-0933, CVE-2016-0936, CVE-2016-0938, CVE-2016-0939, CVE-2016-0942, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946). 
  • Ces mises à jour permettent de bloquer une méthode capable de contourner des restrictions lors de l’exécution d’API en Javascript (CVE-2016-0943).
  • Une mise à jour vers Adobe Download Manager corrige une vulnérabilité du chemin de recherche de répertoire qui est utilisée pour rechercher des ressources susceptibles d’entraîner l’exécution de code (CVE-2016-0947).

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • AbdulAziz Hariri du projet Zero Day Initiative d’HPE (CVE-2016-0932, CVE-2016-0937, CVE-2016-0943)
  • AbdulAziz Hariri et Jasiel Spelman du projet Zero Day Initiative d’HPE (CVE-2016-0941)
  • Behzad Najjarpour Jabbari, Secunia Research pour Flexera Software (CVE-2016-0940)
  • Brian Gorenc du projet Zero Day Initiative d’HPE (CVE-2016-0931)
  • Chris Navarrete de FortiGuard Labs de Fortinet (CVE-2016-0942)
  • Jaanus Kp de Clarified Security, pour sa contribution au projet Zero Day Initiative d’HPE (CVE-2016-0936, CVE-2016-0938, CVE-2016-0939)
  • kdot pour sa contribution au projet Zero Day Initiative d’HPE (CVE-2016-0934, CVE-2016-0935, CVE-2016-1111)
  • Linan Hao de l’équipe Qihoo 360 Vulcan Team (CVE-2016-0944, CVE-2016-0945, CVE-2016-0946)
  • Mahinthan Chandramohan, Wei Lei et Liu Yang pour leur contribution au iDefense’s Vulnerability Contributor Program (CVE-2016-0933)
  • Signalée indépendamment par Vladimir Dubrovin, Eric Lawrence et Ke Liu de Xuanwu LAB de Tencent (CVE-2016-0947)

Révisions

27 avril 2016 : ajout de la référence CVE-2016-1111, qui a été omise par inadvertance dans la version originale du bulletin.