Référence du bulletin
Avis de sécurité en prénotification pour Adobe Acrobat et Reader | APSB23-01
|
Date de publication |
Priorité |
---|---|---|
Avis de sécurité en prénotification pour Adobe Acrobat et Reader | APSB23-01 |
10 janvier 2023 |
3 |
Récapitulatif
Adobe prévoit de publier des mises à jour de sécurité pour Adobe Acrobat et Reader sous Windows et macOS le 10 janvier 2023.
Les utilisateurs peuvent aussi consulter les dernières informations disponibles directement sur la page web « Adobe Product Security Incident Response Team » (PSIRT) à l’adresse https://helpx.adobe.com/security.html
(Remarque : cet avis de sécurité en prénotification sera remplacé par un bulletin de sécurité, dès la mise à jour publiée.)
Versions concernées
Ces mises à jour corrigent des vulnérabilités critiques et importantes. Une exploitation réussie est susceptible d’entraîner un déni de service de l’application, l’exécution de code arbitraire, la réaffectation de privilèges et une fuite de mémoire.
Adobe assignera les niveaux de priorité suivants pour ces mises à jour :
Suivi |
Versions concernées |
Plate-forme |
|
Acrobat DC |
Continuous |
22.003.20282 (Win), 22.003.20281 (Mac) et versions antérieures |
Windows et macOS |
Acrobat Reader DC |
Continuous |
|
Windows et macOS |
|
|
||
Acrobat 2020 |
Classic 2020 |
20.005.30418 et versions antérieures
|
Windows et macOS |
Acrobat Reader 2020 |
Classic 2020 |
20.005.30418 et versions antérieures |
Windows et macOS |
Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.
--Pour plus d’informations sur Adobe Acrobat DC, veuillez consulter https://helpx.adobe.com/acrobat/faq.html.
--Pour plus d’informations sur Adobe Acrobat Reader DC, veuillez consulter https://helpx.adobe.com/reader/faq.html.
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :
Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les niveaux de priorité suivants et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Suivi |
Versions mises à jour |
Plate-forme |
Priorité |
Disponibilité |
|
Acrobat DC |
Continuous |
22.003.20310 |
Windows et macOS |
3 |
|
Acrobat Reader DC |
Continuous |
22.003.20310 |
Windows et macOS |
3 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30436 |
Windows et macOS |
3 |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30436 |
Windows et macOS |
3 |
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Score de base CVSS | Vecteur CVSS | Référence CVE |
Dépassement d’entier ou arrondi (CWE-190) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21579 |
Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21581 |
Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21585 |
Déréférencement d’un pointeur NULL (CWE-476) |
Déni de service sur des applications |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2023-21586 |
Débordement de tampon basé sur des piles (CWE-121) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21604 |
Débordement de tampon basé sur des piles (CWE-122) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21605 |
Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21606 |
Validation d’entrée incorrecte (CWE-20) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21607 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21608 |
Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21609 |
Débordement de tampon basé sur des piles (CWE-121) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-21610 |
Violation des principes de design sécurisé (CWE-657) |
Réaffectation de privilèges |
Importante | 6.4 | CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21611 |
Violation des principes de design sécurisé (CWE-657) |
Réaffectation de privilèges |
Important |
5.6 | CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N |
CVE-2023-21612 |
Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2023-21613 |
Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2023-21614 |
Remerciements
Adobe tient à remercier les personnes/organisations suivantes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- 0x1byte, contributeur du projet Zero Day Initiative de Trend Micro - CVE-2023-21579, CVE-2023-21581, CVE-2023-21605
- Koh M. Nakagawa (Ko Kato) (tsunekoh) - CVE-2023-21611, CVE-2023-21612
- Mat Powell du projet Zero Day Initiative de Trend Micro - CVE-2023-21585, CVE-2023-21606, CVE-2023-21607, CVE-2023-21613, CVE-2023-21614
- KMFL (kmfl) - CVE-2023-21586
- Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro- CVE-2023-21609
- Vancir (vancir) - CVE-2023-21610
- Ashfaq Ansari et Krishnakant Patil de HackSys Inc, contributeurs du projet Zero Day Initiative de Trend Micro - CVE-2023-21608
Révisions :
7 novembre 2022 : Remerciements révisés pour CVE-2022-38437
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?