Adobe a publié une mise à jour de sécurité pour Adobe Digital Editions pour Windows, Macintosh, iOS et Android. Cette mise à jour corrige une vulnérabilité critique de traitement des entités XML externes susceptible de divulguer des informations, et des vulnérabilités de type « lecture hors limites » et de type « corruption de mémoire » susceptibles de divulguer des adresses mémoire.
| Produit | Version | Plate-forme |
|---|---|---|
| Adobe Digital Editions | Versions 4.5.6 et antérieures | Windows, Macintosh, iOS et Android |
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
| Produit | Version | Plate-forme | Priorité | Disponibilité |
| Adobe Digital Editions | 4.5.7 | Windows | 3 | Page de téléchargement |
| Macintosh | 3 | Page de téléchargement | ||
| iOS | 3 | iTunes | ||
| Android | 3 | Playstore |
Remarque :
- Les utilisateurs d’Adobe Digital Editions 4.5.6 peuvent télécharger la mise à jour sur la page de téléchargement dédiée ou utiliser le processus de mise à jour automatique s’ils y sont invités.
- Pour plus d’informations, consultez les notes de version.
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Références CVE |
| Exploitation non sécurisée des entités XML externes | Divulgation d’informations | Critique | CVE-2017-11273 |
| Lecture hors limites | Divulgation d’adresse mémoire | Important | CVE-2017-11297 |
| Lecture hors limites | Divulgation d’adresse mémoire | Important | CVE-2017-11298 |
| Lecture hors limites | Divulgation d’adresse mémoire | Important | CVE-2017-11299 |
| Lecture hors limites | Divulgation d’adresse mémoire | Important | CVE-2017-11300 |
| Corruption de mémoire | Divulgation d’adresse mémoire | Important | CVE-2017-11301 |
Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé ces problèmes particuliers et joint leurs efforts aux nôtres pour assurer la sécurité des clients :
- Steven Seeley de Source Incite (CVE-2017-11273)
- Jaanus Kääp, Clarified Security (CVE-2017-11297, CVE-2017-11298, CVE-2017-11299, CVE-2017-11300)
- Riusksk de Tencent Security Platform Department (CVE-2017-11301)