Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader

Date de publication : 5 mai 2016

Dernière mise à jour : 19 mai 2016

Identifiant de vulnérabilité : APSB16-14

Priorité : 2

Références CVE : CVE-2016-1037, CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1043, CVE-2016-1044, CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1063, CVE-2016-1064, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1075, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1079, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1087, CVE-2016-1088, CVE-2016-1090, CVE-2016-1092, CVE-2016-1093, CVE-2016-1094, CVE-2016-1095, CVE-2016-1112, CVE-2016-1116, CVE-2016-1117, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107, CVE-2016-4119

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC Continue Versions 15.010.20060 et antérieures
Windows et Macintosh
Acrobat Reader DC Continue Versions 15.010.20060 et antérieures
Windows et Macintosh
       
Acrobat DC Standard Versions 15.006.30121 et antérieures
Windows et Macintosh
Acrobat Reader DC Standard Versions 15.006.30121 et antérieures
Windows et Macintosh
       
Acrobat XI Postes de travail Versions 11.0.15 et antérieures Windows et Macintosh
Reader XI Postes de travail Versions 11.0.15 et antérieures Windows et Macintosh

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC. Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour. 
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées. 
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés. 
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continue 15.016.20039
Windows et Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continue 15.016.20039
Windows et Macintosh 2 Centre de téléchargement
           
Acrobat DC Standard 15.006.30172
Windows et Macintosh
2 Windows
Macintosh
Acrobat Reader DC Standard 15.006.30172
Windows et Macintosh 2 Windows
Macintosh
           
Acrobat XI Postes de travail 11.0.16 Windows et Macintosh 2 Windows
Macintosh
Reader XI Postes de travail 11.0.16 Windows et Macintosh 2 Windows
Macintosh

Détails concernant la vulnérabilité

  • Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2016-1045, CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1065, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1075, CVE-2016-1094, CVE-2016-1121, CVE-2016-1122, CVE-2016-4102, CVE-2016-4107).
  • Ces mises à jour corrigent des vulnérabilités de type « débordement de la mémoire tampon au niveau du tas » susceptibles d’entraîner l’exécution de code (CVE-2016-4091, CVE-2016-4092).
  • Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2016-1037, CVE-2016-1063, CVE-2016-1064, CVE-2016-1071, CVE-2016-1072, CVE-2016-1073, CVE-2016-1074, CVE-2016-1076, CVE-2016-1077, CVE-2016-1078, CVE-2016-1080, CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086, CVE-2016-1088, CVE-2016-1093, CVE-2016-1095, CVE-2016-1116, CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4119).
  • Ces mises à jour corrigent une vulnérabilité de type « débordement d’entier » susceptible d’entraîner l’exécution de code (CVE-2016-1043).
  • Ces mises à jour corrigent des vulnérabilités de type « fuite de mémoire » (CVE-2016-1079, CVE-2016-1092).
  • Ces mises à jour corrigent une vulnérabilité susceptible d’entraîner la divulgation d’informations (CVE-2016-1112).
  • Ces mises à jour corrigent diverses méthodes permettant de contourner les restrictions lors de l’exécution d’API en JavaScript (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044, CVE-2016-1062, CVE-2016-1117).
  • Ces mises à jour corrigent des vulnérabilités dans le chemin de recherche du répertoire utilisé pour identifier des ressources, qui sont susceptibles d’entraîner l’exécution de code (CVE-2016-1087, CVE-2016-1090, CVE-2016-4106).

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Jaanus Kääp de Clarified Security (CVE-2016-1088, CVE-2016-1093)
  • Brian Gorenc pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1065)
  • AbdulAziz Hariri pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1046, CVE-2016-1047, CVE-2016-1048, CVE-2016-1049, CVE-2016-1050, CVE-2016-1051, CVE-2016-1052, CVE-2016-1053, CVE-2016-1054, CVE-2016-1055, CVE-2016-1056, CVE-2016-1057, CVE-2016-1058, CVE-2016-1059, CVE-2016-1060, CVE-2016-1061, CVE-2016-1062, CVE-2016-1066, CVE-2016-1067, CVE-2016-1068, CVE-2016-1069, CVE-2016-1070, CVE-2016-1076, CVE-2016-1079, CVE-2016-1117)
  • AbdulAziz Hariri et Jasiel Spelman pour leur contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1080)
  • Ladislav Baco de CSIRT.SK et Eric Lawrence (CVE-2016-1090)
  • Ke Liu de Tencent’s Xuanwu LAB (CVE-2016-1118, CVE-2016-1119, CVE-2016-1120, CVE-2016-1121, CVE-2016-1122, CVE-2016-1123, CVE-2016-1124, CVE-2016-1125, CVE-2016-1126, CVE-2016-1127, CVE-2016-1128, CVE-2016-1129, CVE-2016-1130, CVE-2016-4088, CVE-2016-4089, CVE-2016-4090, CVE-2016-4091, CVE-2016-4092, CVE-2016-4093, CVE-2016-4094, CVE-2016-4096, CVE-2016-4097, CVE-2016-4098, CVE-2016-4099, CVE-2016-4100, CVE-2016-4101, CVE-2016-4102, CVE-2016-4103, CVE-2016-4104, CVE-2016-4105, CVE-2016-4106, CVE-2016-4107)
  • kdot pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1063, CVE-2016-1071, CVE-2016-1074, CVE-2016-1075, CVE-2016-1078, CVE-2016-1095)
  • Anand Bhat (CVE-2016-1087)
  • Sebastian Apelt de Siberas (CVE-2016-1092)
  • Wei Lei et Liu Yang de la Nanyang Technological University (CVE-2016-1116)
  • Pier-Luc Maltais de COSIG (CVE-2016-1077)
  • Matthias Kaiser pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044)
  • Jaanus Kp Clarified Security et Steven Seeley de Source Incite pour leur contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1094)
  • Sebastian Apelt de Siberas pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1072, CVE-2016-1073)
  • Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2016-1043, CVE-2016-1045)
  • kelvinwang de Tencent PC Manager (CVE-2016-1081, CVE-2016-1082, CVE-2016-1083, CVE-2016-1084, CVE-2016-1085, CVE-2016-1086)
  • Wei Lei, Wu Hongjun and Liu Yang pour leur contribution au programme iDefense Vulnerability Contributor Program (CVE-2016-1037)
  • Alex Inführ of Cure53.de (CVE-2016-1064)
  • Kushal Arvind Shah et Kai Lu de FortiGuard Labs de Fortinet (CVE-2016-4119)

Révisions

19 mai 2016 : ajout de la référence CVE-2016-4119, qui a été omise par inadvertance dans la version originale du bulletin, alors qu’elle était corrigée dans cette version.