Référence du bulletin
Dernière mise à jour le
1 nov. 2021
Mises à jour de sécurité disponibles pour le SDK Adobe XMP Toolkit | APSB21-65
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB21-65 |
17 août 2021 |
3 |
Récapitulatif
Adobe a publié des mises à jour pour le SDK XMP-Toolkit. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes.Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire dans l’environnement de l’utilisateur actuel.
Versions concernées
|
Produit |
Versions affectées |
Plate-forme |
|
SDK Adobe XMP-Toolkit |
2020.1 et versions antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs de mettre à jour leurs installations avec les dernières versions des logiciels.
|
Produit |
Mise à jour |
Plate-forme |
Priorité |
Disponibilité |
|
SDK Adobe XMP-Toolkit |
2021.07 |
Toutes |
3 |
Détails concernant la vulnérabilité
|
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
CVSS base score |
Référence CVE |
|
|---|---|---|---|---|---|
|
Lecture hors limites (CWE-125) |
Lecture arbitraire dans le système de fichiers |
Critique |
7.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H |
CVE-2021-36045 |
|
Access of Memory Location After End of Buffer (CWE-788) |
Arbitrary code execution |
Critical |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36046 |
|
Improper Input Validation (CWE-20) |
Arbitrary code execution |
Critical |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36047 CVE-2021-36048 |
|
Heap-based Buffer Overflow (CWE-122) |
Arbitrary code execution |
Critical |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36050 CVE-2021-36051 |
|
Access of Memory Location After End of Buffer (CWE-788) |
Arbitrary code execution |
Critical |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-36052 |
|
Out-of-bounds Read (CWE-125) |
Application denial-of-service |
Important |
5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
CVE-2021-36053 |
|
Heap-based Buffer Overflow (CWE-122) |
Application denial-of-service |
Important |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H |
CVE-2021-36054 |
|
Use After Free (CWE-416) |
Application denial-of-service |
Important |
6.1 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H |
CVE-2021-36055 CVE-2021-36056 |
|
Write-what-where Condition (CWE-123) |
Arbitrary code execution |
Important |
4.7 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
CVE-2021-36057 |
|
Buffer Underwrite ('Buffer Underflow') (CWE-124) |
Arbitrary code execution |
Critical |
8.4 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-36064 |
|
Integer Overflow or Wraparound (CWE-190) |
Application denial-of-service |
Important |
6.6 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H |
CVE-2021-36058 |
Remerciements
Adobe tient à remercier les personnes/organisations suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- CFF de l’équipe Alpha Topsec (cff_123) (CVE-2021-36052, CVE-2021-36064)
- CQY de l’équipe Topsec Alpha (yjdfy) (CVE-2021-36045, CVE-2021-36046, CVE-2021-36047, CVE-2021-36048, CVE-2021-36050, CVE-2021-36051, CVE-2021-36053, CVE-2021-36054, CVE-2021-36055, CVE-2021-36056, CVE-2021-36057, CVE-2021-36058, CVE-2021-39847)
Révision
1er septembre 2021 : mise à jour du score de base CVSS et du vecteur CVSS pour CVE-2021-36064 et CVE-2021-36052.
ajout d’informations pour CVE-2021-39847.
mise à jour des informations de remerciement pour yjdfy.
27 septembre 2021 : mise à jour du score de base CVSS pour CVE-2021-36058 et CVE-2021-36054. Catégorie de vulnérabilité mise à jour pour CVE-2021-36056. Remerciements mis à jour pour CVE-2021-36058.
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com
