Référence du bulletin
Dernière mise à jour le
8 oct. 2024
Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB24-70
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB24-70 |
10 septembre 2024 |
3 |
Récapitulatif
Adobe a publié une mise à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Cette mise à jour corrige des vulnérabilités critiques. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.
Adobe est conscient de l’existence d’une preuve de concept connue pour la faille CVE-2024-41869, susceptible de provoquer un blocage d’Adobe Acrobat et Reader. Adobe n’a pas connaissance d’une exploitation de ce problème dans la nature.
Versions concernées
|
Suivi |
Versions concernées |
Plate-forme |
|
|
Acrobat DC |
Continuous |
24.003.20054 et versions antérieures (Windows) |
Windows et macOS |
|
Acrobat Reader DC |
Continuous |
24.003.20054 et versions antérieures (Windows) |
Windows et macOS |
|
Acrobat 2024 |
Classic 2024 |
24.001.30159 et versions antérieures |
Windows et macOS |
|
Acrobat 2020 |
Classic 2020 |
20.005.30655 et versions antérieures |
Windows et macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30655 et versions antérieures |
Windows et macOS |
Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.
Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :
Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les niveaux de priorité suivants et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
|
Suivi |
Versions mises à jour |
Plate-forme |
Priorité |
Disponibilité |
|
|
Acrobat DC |
Continuous |
24.003.20112 |
Windows et macOS |
3 |
|
|
Acrobat Reader DC |
Continuous |
24.003.20112 |
Windows et macOS |
3 |
|
|
Acrobat 2024 |
Classic 2024 |
24.001.30187 |
Windows et macOS |
3 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30680 |
Windows et macOS |
3 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30680 |
Windows et macOS |
3 |
Détails concernant la vulnérabilité
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Score de base CVSS | Vecteur CVSS | Référence CVE |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2024-41869
|
| Accès à la ressource en utilisant un type incompatible (Confusion de type) (CWE-843) |
Exécution de code arbitraire |
Critique | 8.6 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
CVE-2024-45112 |
Remerciements
Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :
- Haifei Li de EXPMON et Check Point Research - CVE-2024-41869
- Anonyme - CVE-2024-45112
Révisions :
18 septembre 2024 : ajout d’un commentaire pour CVE-2024-41869
REMARQUE : Adobe dispose d’un programme public de prime aux bogues avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur externe en sécurité, rendez-vous sur : https://hackerone.com/adobe.
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
