Référence du bulletin
Dernière mise à jour le
8 mai 2024
Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB24-07
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB24-07 |
13 février 2024 |
3 |
Récapitulatif
Adobe a publié une mise à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Cette mise à jour corrige des vulnérabilités critiques et importantes. Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire, un déni de service de l’application et une fuite de mémoire.
Versions concernées
|
Suivi |
Versions concernées |
Plate-forme |
|
|
Acrobat DC |
Continuous |
23.008.20470 et versions antérieures |
Windows et macOS |
|
Acrobat Reader DC |
Continuous |
23.008.20470 et versions antérieures
|
Windows et macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30539 et versions antérieure
|
Windows et macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30539 et versions antérieure |
Windows et macOS |
Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.
Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :
Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les niveaux de priorité suivants et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
|
Suivi |
Versions mises à jour |
Plate-forme |
Priorité |
Disponibilité |
|
|
Acrobat DC |
Continuous |
23.008.20533 |
Windows et macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
23.008.20533 |
Windows et macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30574 |
Windows et macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30574 |
Windows et macOS |
3 |
Détails concernant la vulnérabilité
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Score de base CVSS | Vecteur CVSS | Référence CVE |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-20726 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-20727 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-20728 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-30301 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-30303 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2024-30304 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2024-30305 |
| Lecture hors limites (CWE-125) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-30306 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-20729 |
| Dépassement d’entier ou arrondi (CWE-190) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-20730 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
8.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-20731 |
| Utilisation de zone désallouée (CWE-416) | Exécution de code arbitraire | Critique | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2024-20765 |
| Utilisation de zone désallouée (CWE-416) |
Fuite de mémoire | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-30302 |
| Validation d’entrée incorrecte (CWE-20) |
Déni de service sur des applications |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2024-20733 |
| Utilisation de zone désallouée (CWE-416) |
Fuite de mémoire |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-20734 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-20735 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-20736 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-20747 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-20748 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2024-20749 |
Remerciements
Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :
- Cisco Talos (ciscotalos) - CVE-2024-20729, CVE-2024-20730, CVE-2024-20731, CVE-2024-20735, CVE-2024-20747, CVE-2024-20748, CVE-2024-20749
- Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro - CVE-2024-20728, CVE-2024-20734, CVE-2024-20736, CVE-2024-20765
- Mark Vincent Yason pour sa contribution au projet Zero Day Initiative de Trend Micro - CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305, CVE-2024-30306
- Kai Lu du ThreatLabz de Zscaler - CVE-2024-20733
Révisions :
2 mai 2024 : ajout de CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305 et CVE-2024-30306
28 février 2024 : ajout de CVE-2024-20765
20 février 2024 : remerciements mis à jour pour CVE-2024-20733
REMARQUE : Adobe dispose d’un programme privé de prime aux bogues, accessible sur invitation uniquement, avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur en sécurité externe, remplissez ce formulaire pour les étapes suivantes.
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
