Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB17-24
Référence du bulletin Date de publication Priorité 
APSB17-24 8 août 2017 2

Récapitulatif

Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques et importantes susceptibles de permettre à un pirate de prendre le contrôle du système concerné.  

Versions concernées

Ces mises à jour corrigent des vulnérabilités critiques du logiciel. Adobe va assigner les niveaux de priorité suivants pour ces mises à jour :

Produit Versions concernées Plate-forme
Acrobat DC (suivi continu) Versions 2017.009.20058 et antérieures
Windows et Macintosh
Acrobat Reader DC (suivi continu) Versions 2017.009.20058 et antérieures
Windows et Macintosh
     
Acrobat 2017 Versions 2017.008.30051 et antérieures Windows et Macintosh
Acrobat Reader 2017 Versions 2017.008.30051 et antérieures Windows et Macintosh
     
Acrobat DC (suivi classique) Versions 2015.006.30306 et antérieures
Windows et Macintosh
Acrobat Reader DC (suivi classique) Versions 2015.006.30306 et antérieures
Windows et Macintosh
     
Acrobat XI Versions 11.0.20 et antérieures Windows et Macintosh
Reader XI Versions 11.0.20 et antérieures Windows et Macintosh

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.

Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.

Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des
    mises à jour sont détectées.
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM
    (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC (suivi continu) 2017.012.20098
Windows et Macintosh 2 Windows
Macintosh
Acrobat Reader DC (suivi continu) 2017.012.20098 Windows et Macintosh 2 Centre de téléchargement
         
Acrobat 2017 2017.011.30066 Windows et Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows et Macintosh 2 Windows
Macintosh
         
Acrobat DC (suivi classique) 2015.006.30355
Windows et Macintosh
2 Windows
Macintosh
Acrobat Reader DC (suivi classique) 2015.006.30355 
Windows et Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows et Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows et Macintosh 2 Windows
Macintosh

Remarque :

La version 11.0.22 est à la disposition des utilisateurs affectés par la régression fonctionnelle dans les formulaires xfa introduits dans la version 11.0.21 (cliquez ici pour plus de détails). Les versions 11.0.22 et 11.0.21 résolvent toutes les vulnérabilités de sécurité indiquées dans ce bulletin.    

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Références CVE
Corruption de mémoire Exécution de code à distance Critique CVE-2017-3016
Corruption de mémoire Exécution de code à distance Critique CVE-2017-3038
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-3113
Vérification insuffisante de l’authenticité des données Divulgation d’informations Important CVE-2017-3115
Corruption de mémoire Exécution de code à distance Critique CVE-2017-3116
Débordement de tas Exécution de code à distance Critique CVE-2017-3117
Contournement de sécurité Divulgation d’informations Important CVE-2017-3118
Corruption de mémoire Exécution de code à distance Important CVE-2017-3119
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-3120
Débordement de tas Exécution de code à distance Critique CVE-2017-3121
Corruption de mémoire Divulgation d’informations Important CVE-2017-3122
Corruption de mémoire Exécution de code à distance Critique CVE-2017-3123
Corruption de mémoire Exécution de code à distance Critique CVE-2017-3124
Corruption de mémoire Divulgation d’informations Important CVE-2017-11209
Corruption de mémoire Divulgation d’informations Important CVE-2017-11210
Débordement de tas Exécution de code à distance Critique CVE-2017-11211
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11212
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11214
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11216
Corruption de mémoire Divulgation d’informations Important CVE-2017-11217
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-11218
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-11219
Débordement de tas Exécution de code à distance Critique CVE-2017-11220
Confusion de type Exécution de code à distance Critique CVE-2017-11221
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11222
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-11223
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-11224
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11226
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11227
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11228
Contournement de sécurité Exécution de code à distance Important CVE-2017-11229
Corruption de mémoire Divulgation d’informations Important CVE-2017-11230
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-11231
Utilisation de zone désallouée Divulgation d’informations Important CVE-2017-11232
Corruption de mémoire Divulgation d’informations Important CVE-2017-11233
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11234
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-11235
Corruption de mémoire Divulgation d’informations Important CVE-2017-11236
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11237
Corruption de mémoire Divulgation d’informations Critique CVE-2017-11238
Corruption de mémoire Divulgation d’informations Critique CVE-2017-11239
Débordement de tas Exécution de code à distance Critique CVE-2017-11241
Corruption de mémoire Divulgation d’informations Important CVE-2017-11242
Corruption de mémoire Divulgation d’informations Important CVE-2017-11243
Corruption de mémoire Divulgation d’informations Important CVE-2017-11244
Corruption de mémoire Divulgation d’informations Important CVE-2017-11245
Corruption de mémoire Divulgation d’informations Important CVE-2017-11246
Corruption de mémoire Divulgation d’informations Important CVE-2017-11248
Corruption de mémoire Divulgation d’informations Important CVE-2017-11249
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11251
Corruption de mémoire Divulgation d’informations Critique CVE-2017-11252
Utilisation de zone désallouée Exécution de code à distance Important CVE-2017-11254
Corruption de mémoire Divulgation d’informations Important CVE-2017-11255
Utilisation de zone désallouée Exécution de code à distance Critique CVE-2017-11256
Confusion de type Exécution de code à distance Critique CVE-2017-11257
Corruption de mémoire Divulgation d’informations Important CVE-2017-11258
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11259
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11260
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11261
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11262
Corruption de mémoire Exécution de code à distance Important CVE-2017-11263
Corruption de mémoire Divulgation d’informations Important CVE-2017-11265
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11267
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11268
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11269
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11270
Corruption de mémoire Exécution de code à distance Critique CVE-2017-11271

Remarque :

La vulnérabilité CVE-2017-3038 a été corrigée dans les versions 2017.009.20044 et 2015.006.30306 (avril 2017), mais le correctif était incomplet pour la version 11.0.20.  Cette vulnérabilité est désormais entièrement corrigée dans la version 11.0.21 (version d’août 2017).  

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé
ces problèmes et joint leurs efforts aux nôtres pour protéger les clients :

  • @vftable pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic de Cisco Talos (CVE-2017-11263)
  • Alex Infuhr de Cure 53 (CVE-2017-11229)
  • Ashfaq Ansari de Project Srishti (CVE-2017-11221)
  • Ashfaq Ansari de Project Srishti pour sa contribution à l’iDefense Vulnerability Contributor Program (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Signalement anonyme via le projet Zero Day Initiative de Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernando Munoz pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3115)
  • Giwan Go de STEALIEN & HIT pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11228, CVE-2017-11230)
  • Heige (alias SuperHei) (CVE-2017-11222)
  • Jaanus Kp de Clarified Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kp de Clarified Security et Ashfaq Ansari de Project Srishti pour leur contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11231)
  • Jihui Lu de Tencent KeenLab (CVE-2017-3119)
  • kdot pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Ke Liu de Xuanwu LAB de Tencent pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Ke Liu de Xuanwu LAB de Tencent pour sa contribution au projet Zero Day Initiative de Trend Micro et Steven Seeley (mr_me) d’Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • Siberas pour sa contribution au SecuriTeam Secure Disclosure Program de Beyond Security (CVE -2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk du Tencent Security Platform Department (CVE-2017-3016)
  • Sebastian Apelt de Siberas pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Steven Seeley (mr_me) d’Offensive Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Steven Seeley pour sa contribution au SecuriTeam Secure Disclosure Program de Beyond Security(CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226)
  • Toan Pham (CVE-2017-3116)

Révisions

29 août 2017 : le tableau Solution a été mis à jour pour refléter les nouvelles mises à jour disponibles à partir du 29 août.  Ces mises à jour corrigent une régression fonctionnelle avec la fonctionnalité des formulaires xfa qui affectait certains utilisateurs.  Les mises à jour du 29 août résolvent également la vulnérabilité de sécurité CVE-2017-11223.  

La vulnérabilité CVE-2017-11223 a été initialement traitée dans les mises à jour du 8 août (versions 2017.012.20093, 2017.011.30059 et 2015.006.30352), mais en raison d'une régression fonctionnelle dans ces versions, des correctifs temporaires ont été proposés mais ils ont supprimé le correctif pour la vulnérabilité CVE-2017-11223. Les mises à jour du 29 août résolvent la régression et proposent un correctif pour la vulnérabilité CVE-2017-11223. Pour plus de détails, consultez cet article de blog.