Mises à jour de sécurité disponibles pour Adobe Reader et Acrobat

Date de publication : 12 mai 2015

Identifiant de vulnérabilité : APSB15-10

Priorité : Voir le tableau ci-dessous

Références CVE : CVE-2014-8452, CVE-2014-9160, CVE-2014-9161, CVE-2015-3046, CVE-2015-3047, CVE-2015-3048, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3056, CVE-2015-3057, CVE-2015-3058, CVE-2015-3059, CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3070, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074, CVE-2015-3075, CVE-2015-3076

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié des mises à jour de sécurité d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à jour leurs installations vers la dernière version :

  • Les utilisateurs d’Adobe Reader XI versions 11.0.10 et antérieures doivent effectuer une mise à jour vers la version 11.0.11. 

  • Les utilisateurs d’Adobe Reader X versions 10.1.13 et antérieures doivent effectuer une mise à jour vers la version 10.1.14. 

  • Les utilisateurs d’Adobe Acrobat XI versions 11.0.10 et antérieures doivent effectuer une mise à jour vers la version 11.0.11. 

  • Les utilisateurs d’Adobe Acrobat X versions 10.1.13 et antérieures doivent effectuer une mise à jour vers la version 10.1.14.

Versions logicielles concernées

  • Adobe Reader XI (11.0.10) et versions 11.x antérieures 

  • Adobe Reader X (10.1.13) et versions 10.x antérieures  

  • Adobe Reader XI (11.0.10) et versions 11.x antérieures  

  • Adobe Reader X (10.1.13) et versions 10.x antérieures 

Remarque : Adobe Acrobat Reader DC n’est pas affecté par les références CVE figurant dans ce bulletin.

 

Solution

Adobe recommande aux utilisateurs d’effectuer la mise à niveau de leurs installations en procédant comme suit :

Adobe Reader

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Adobe Reader pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Les utilisateurs d’Adobe Reader pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.

Les utilisateurs d’Acrobat Standard et Pro pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Les utilisateurs d’Acrobat Pro pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

Degrés de priorité et de gravité

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version mise à jour Plate-forme Priorité
Adobe Reader 11.0.11
Windows et Macintosh
1
  10.1.14
Windows et Macintosh 1
       
Adobe Acrobat 11.0.11 Windows et Macintosh 1
  10.1.14 Windows et Macintosh 1

Ces mises à niveau corrigent des vulnérabilités critiques du logiciel.

Détails

Adobe a publié des mises à jour de sécurité pour les versions d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à niveau leurs installations vers la dernière version :

  • Les utilisateurs d’Adobe Reader XI versions 11.0.10 et antérieures doivent effectuer une mise à jour vers la version 11.0.11.

  • Les utilisateurs d’Adobe Reader X versions 10.1.13 et antérieures doivent effectuer une mise à jour vers la version 10.1.14.

  • Les utilisateurs d’Adobe Acrobat XI versions 11.0.10 et antérieures doivent effectuer une mise à jour vers la version 11.0.11. 

  • Les utilisateurs d’Adobe Acrobat X versions 10.1.13 et antérieures doivent effectuer une mise à jour vers la version 10.1.14.

Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2015-3053, CVE-2015-3054, CVE-2015-3055, CVE-2015-3059, CVE-2015-3075).

Ces mises à jour corrigent des vulnérabilités de type « débordement de la mémoire tampon basée sur le tas » susceptibles d’entraîner l’exécution de code (CVE-2014-9160).

Ces mises à jour corrigent une vulnérabilité de type « débordement de mémoire tampon » susceptible d’entraîner l’exécution de code (CVE-2015-3048).

Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner une exécution de code (CVE-2014-9161, CVE-2015-3046, CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052, CVE-2015-3056, CVE-2015-3057, CVE-2015-3070, CVE-2015-3076). 

Ces mises à jour corrigent une fuite de mémoire (CVE-2015-3058).  

Ces mises à jour corrigent diverses méthodes permettant de contourner les restrictions lors de l’exécution d’API en JavaScript (CVE-2015-3060, CVE-2015-3061, CVE-2015-3062, CVE-2015-3063, CVE-2015-3064, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3069, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073, CVE-2015-3074).

Cette mise à jour corrige un problème de type « déréférencement des pointeurs NULL » susceptible d’entraîner un état de déni de service (CVE-2015-3047). 

Ces mises à jour apportent un renforcement supplémentaire pour protéger les systèmes contre la vulnérabilité CVE-2014-8452, capable d’exploiter des éléments XML externes pour entraîner une divulgation d’informations.  

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients : 

  • AbdulAziz Hariri du projet Zero Day Initiative d’HP (CVE-2015-3053, CVE-2015-3055, CVE-2015-3057, CVE-2015-3058, CVE-2015-3065, CVE-2015-3066, CVE-2015-3067, CVE-2015-3068, CVE-2015-3071, CVE-2015-3072, CVE-2015-3073) 

  • Alex Inführ de Cure53.de (CVE-2014-8452, CVE-2015-3076)  

  • Une personne anonyme ayant signalé une vulnérabilité par le biais de SecuriTeam Secure Disclosure de Beyond Security (CVE-2015-3075) 

  • bilou pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-3059)

  • Brian Gorenc du projet Zero Day Initiative d’HP (CVE-2015-3054, CVE-2015-3056, CVE-2015-3061, CVE-2015-3063, CVE-2015-3064)  

  • Dave Weinstein du projet Zero Day Initiative d’HP (CVE-2015-3069) 

  • instruder de l’équipe Alibaba Security Research Team (CVE-2015-3070) 

  • lokihardt@asrt pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-3074) 

  • Mateusz Jurczyk du projet Google Project Zero (CVE-2015-3049, CVE-2015-3050, CVE-2015-3051, CVE-2015-3052) 

  • Mateusz Jurczyk du projet Google Project Zero et Gynvael Coldwind de l’équipe de sécurité de Google (CVE-2014-9160, CVE-2014-9161) 

  • Simon Zuckerbraun pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-3060, CVE-2015-3062) 

  • Wei Lei, ainsi que Wu Hongjun et Wang Jing de la Nanyang Technological University (CVE-2015-3047) 

  • Wei Lei, ainsi que Wu Hongjun et Wang Jing de la Nanyang Technological University (CVE-2015-3046) 

  • Xiaoning Li d’Intel Labs et Haifei Li de l’équipe McAfee Labs IPS (CVE-2015-3048)