Date de publication : 7 janvier 2016
Dernière mise à jour : 27 avril 2016
Identifiant de vulnérabilité : APSB16-02
Priorité : Voir le tableau ci-dessous
Références CVE : CVE-2016-0931, CVE-2016-0932, CVE-2016-0933, CVE-2016-0934, CVE-2016-0935, CVE-2016-0936, CVE-2016-0937, CVE-2016-0938, CVE-2016-0939, CVE-2016-0940, CVE-2016-0941, CVE-2016-0942, CVE-2016-0943, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946, CVE-2016-0947, CVE-2016-1111
Plates-formes : Windows et Macintosh
Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.
Produit | Suivi | Versions concernées | Plate-forme |
---|---|---|---|
Acrobat DC | Continue | Versions 15.009.20077 et antérieures |
Windows et Macintosh |
Acrobat Reader DC | Continue | Versions 15.009.20077 et antérieures |
Windows et Macintosh |
Acrobat DC | Standard | Versions 15.006.30097 et antérieures |
Windows et Macintosh |
Acrobat Reader DC | Standard | Versions 15.006.30097 et antérieures |
Windows et Macintosh |
Acrobat XI | Postes de travail | Versions 11.0.13 et antérieures | Windows et Macintosh |
Reader XI | Postes de travail | Versions 11.0.13 et antérieures | Windows et Macintosh |
Remarque : comme indiqué dans cet article de blog, Adobe Acrobat X et Adobe Reader X ne sont plus pris en charge. Adobe recommande aux utilisateurs d’installer Adobe Acrobat DC et Adobe Acrobat Reader DC pour bénéficier des dernières fonctions et mises à jour de sécurité.
Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC. Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :
- Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
- Lorsque des mises à jour sont détectées, les produits sont automatiquement actualisés sans nécessiter l’intervention de l’utilisateur.
- Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
- Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
- Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.
Produit | Suivi | Versions mises à jour | Plate-forme | Priorité | Disponibilité |
---|---|---|---|---|---|
Acrobat DC | Continue | 15.010.20056 |
Windows et Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC | Continue | 15.010.20056 |
Windows et Macintosh | 2 | Centre de téléchargement |
Acrobat DC | Standard | 15.006.30119 |
Windows et Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC | Standard | 15.006.30119 |
Windows et Macintosh | 2 | Windows Macintosh |
Acrobat XI | Postes de travail | 11.0.14 | Windows et Macintosh | 2 | Windows Macintosh |
Reader XI | Postes de travail | 11.0.14 | Windows et Macintosh | 2 | Windows Macintosh |
- Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2016-0932, CVE-2016-0934, CVE-2016-0937, CVE-2016-0940, CVE-2016-0941).
- Ces mises à jour corrigent des vulnérabilités de type « double-free » susceptibles d’entraîner l’exécution de code (CVE-2016-0935, CVE-2016-1111).
- Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d’entraîner l’exécution de code (CVE-2016-0931, CVE-2016-0933, CVE-2016-0936, CVE-2016-0938, CVE-2016-0939, CVE-2016-0942, CVE-2016-0944, CVE-2016-0945, CVE-2016-0946).
- Ces mises à jour permettent de bloquer une méthode capable de contourner des restrictions lors de l’exécution d’API en Javascript (CVE-2016-0943).
- Une mise à jour vers Adobe Download Manager corrige une vulnérabilité du chemin de recherche de répertoire qui est utilisée pour rechercher des ressources susceptibles d’entraîner l’exécution de code (CVE-2016-0947).
Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- AbdulAziz Hariri du projet Zero Day Initiative d’HPE (CVE-2016-0932, CVE-2016-0937, CVE-2016-0943)
- AbdulAziz Hariri et Jasiel Spelman du projet Zero Day Initiative d’HPE (CVE-2016-0941)
- Behzad Najjarpour Jabbari, Secunia Research pour Flexera Software (CVE-2016-0940)
- Brian Gorenc du projet Zero Day Initiative d’HPE (CVE-2016-0931)
- Chris Navarrete de FortiGuard Labs de Fortinet (CVE-2016-0942)
- Jaanus Kp de Clarified Security, pour sa contribution au projet Zero Day Initiative d’HPE (CVE-2016-0936, CVE-2016-0938, CVE-2016-0939)
- kdot pour sa contribution au projet Zero Day Initiative d’HPE (CVE-2016-0934, CVE-2016-0935, CVE-2016-1111)
- Linan Hao de l’équipe Qihoo 360 Vulcan Team (CVE-2016-0944, CVE-2016-0945, CVE-2016-0946)
- Mahinthan Chandramohan, Wei Lei et Liu Yang pour leur contribution au iDefense’s Vulnerability Contributor Program (CVE-2016-0933)
- Signalée indépendamment par Vladimir Dubrovin, Eric Lawrence et Ke Liu de Xuanwu LAB de Tencent (CVE-2016-0947)