Date de publication : 16 septembre 2014
Identifiant de vulnérabilité : APSB14-20
Priorité : Voir le tableau ci-dessous
Références CVE : CVE-2014-0560, CVE-2014-0561, CVE-2014-0562, CVE-2014-0563, CVE-2014-0565, CVE-2014-0566, CVE-2014-0567, CVE-2014-0568
Plates-formes : Windows et Macintosh
Adobe a publié des mises à jour de sécurité d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :
- Les utilisateurs d’Adobe Reader XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
- Pour les utilisateurs d’Adobe Reader X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
- Les utilisateurs d’Adobe Acrobat XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
- Pour les utilisateurs d’Adobe Acrobat X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
- Adobe Reader XI (11.0.08) et versions 11.x antérieures pour Windows
- Adobe Reader XI (11.0.07) et versions 11.x antérieures pour Macintosh
- Adobe Reader X (10.1.11) et versions 10.x antérieures pour Windows
- Adobe Reader X (10.1.10) et versions 10.x antérieures pour Macintosh
- Adobe Reader XI (11.0.08) et versions 11.x antérieures pour Windows
- Adobe Reader XI (11.0.07) et versions 11.x antérieures pour Macintosh
- Adobe Reader X (10.1.11) et versions 10.x antérieures pour Windows
- Adobe Reader X (10.1.10) et versions 10.x antérieures pour Macintosh
Adobe recommande aux utilisateurs d’effectuer la mise à niveau de leurs installations en procédant comme suit :
Adobe Reader
Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.
Les utilisateurs d’Adobe Reader pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Les utilisateurs d’Acrobat Reader pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.
Les utilisateurs d’Adobe Acrobat Standard et Pro pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Les utilisateurs d’Adobe Acrobat Pro pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit | Version mise à jour | Plate-forme | Priorité |
---|---|---|---|
Adobe Reader XI | 11.0.09 |
Windows et Macintosh |
1 |
Adobe Reader X | 10.1.12 |
Windows et Macintosh | 1 |
Adobe Acrobat XI | 11.0.09 |
Windows et Macintosh |
1 |
Adobe Acrobat X |
10.1.12 |
Windows et Macintosh |
1 |
Ces mises à niveau corrigent des vulnérabilités critiques du logiciel.
Adobe a publié des mises à jour de sécurité pour les versions d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :
- Les utilisateurs d’Adobe Reader XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
- Pour les utilisateurs d’Adobe Reader X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
- Les utilisateurs d’Adobe Acrobat XI versions 11.0.08 et antérieures doivent effectuer une mise à jour vers la version 11.0.09.
- Pour les utilisateurs d’Adobe Acrobat X versions 10.1.11 et antérieures, qui ne peuvent pas effectuer la mise à jour vers la version 11.0.09, Adobe vient de mettre en ligne la version 10.1.12.
Ces mises à jour corrigent une vulnérabilité de type « utilisation de zone désallouée » susceptible d’entraîner l’exécution de code (CVE-2014-0560).
Ces mises à jour corrigent une vulnérabilité susceptible d'entraîner l'exécution d'un script universel de site à site (UXSS) dans Adobe Reader et Adobe Acrobat sur la plate-forme Macintosh (CVE-2014-0562).
Ces mises à jour corrigent une vulnérabilité potentielle de déni de service associée à une corruption de la mémoire (CVE-2014-0563).
Ces mises à jour corrigent une vulnérabilité de type débordement de tas susceptible d'entraîner l'exécution de code (CVE-2014-0561, CVE-2014-0567).
Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d'entraîner l'exécution de code (CVE-2014-0565, CVE-2014-0566).
Ces mises à jour corrigent une vulnérabilité de type "Contournement de bac à sable (sandbox)" susceptible d’être exploitée pour exécuter du code natif avec une escalade de privilèges sous Windows (CVE-2014-0568).
Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- Wei Lei et Wu Hongjun de la Nanyang Technological University collaborant avec Verisign iDefense Labs (CVE-2014-0560)
- Tom Ferris travaillant sur le projet Zero Day Initiative de HP (CVE-2014-0561)
- Frans Rosen de Detectify (CVE-2014-0562)
- Wei Lei et Wu Hongjun de la Nanyang Technological University (CVE-2014-0563, CVE-2014-0565, CVE-2014-0566)
- Une personne anonyme ayant signalé le problème via le programme Zero Day Initiative de HP (CVE-2014-0567)
- James Forshaw du project Google Project Zero (CVE-2014-0568)