Bulletin de sécurité Adobe
Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader | APSB17-36
Référence du bulletin Date de publication Priorité 
APSB17-36 14 novembre 2017 2

Récapitulatif

Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.

Versions concernées

Produit Versions concernées Plate-forme
Acrobat DC (suivi continu) Versions 2017.012.20098 et antérieures
Windows et Macintosh
Acrobat Reader DC (suivi continu) Versions 2017.012.20098 et antérieures
Windows et Macintosh
     
Acrobat 2017 Versions 2017.011.30066 et antérieures Windows et Macintosh
Acrobat Reader 2017 Versions 2017.011.30066 et antérieures Windows et Macintosh
     
Acrobat DC (suivi classique) Versions 2015.006.30355 et antérieures
Windows et Macintosh
Acrobat Reader DC (suivi classique) Versions 2015.006.30355 et antérieures
Windows et Macintosh
     
Acrobat XI Versions 11.0.22 et antérieures Windows et Macintosh
Reader XI Versions 11.0.22 et antérieures Windows et Macintosh

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.

Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des
    mises à jour sont détectées.
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM
    (Windows), ou sur Macintosh, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC (suivi continu) 2018.009.20044
Windows et Macintosh 2 Windows
Macintosh
Acrobat Reader DC (suivi continu) 2018.009.20044
Windows et Macintosh 2 Centre de téléchargement
         
Acrobat 2017 2017.011.30068 Windows et Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows et Macintosh 2 Windows
Macintosh
         
Acrobat DC (suivi classique) 2015.006.30392
Windows et Macintosh
2 Windows
Macintosh
Acrobat Reader DC (suivi classique) 2015.006.30392 
Windows et Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows et Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows et Macintosh 2 Windows
Macintosh

Remarque :

Comme indiqué dans l’annonce précédente, Adobe Acrobat 11.x et Adobe Reader 11.x ne sont plus pris en charge depuis le 15 octobre 2017.  La version 11.0.23 correspond à la dernière version d’Adobe Acrobat 11.x et Adobe Reader 11.x.  Adobe recommande de passer aux dernières versions d’Adobe Acrobat DC et Adobe Acrobat Reader DC. En installant les dernières versions, vous bénéficierez des dernières fonctionnalités améliorées et mesures de sécurité renforcées.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Accès d’un pointeur non initialisé Exécution de code à distance
Critique CVE-2017-16377
CVE-2017-16378
Utilisation de zone désallouée Exécution de code à distance
Critique CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Accès à la mémoire tampon avec une valeur de longueur incorrecte Exécution de code à distance Critique CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Lecture excessive de la mémoire tampon Exécution de code à distance Critique CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Dépassement/Insuffisance de la mémoire tampon Exécution de code à distance Critique CVE-2017-16368
Débordement de tas Exécution de code à distance Critique CVE-2017-16383
Validation incorrecte de l’index du tableau Exécution de code à distance Critique

CVE-2017-16391
CVE-2017-16410

Lecture hors limites Exécution de code à distance Critique CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Ecriture hors limites Exécution de code à distance Critique CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Contournement de sécurité Téléchargement dynamique malveillant Important
CVE-2017-16361
CVE-2017-16366
Contournement de sécurité Divulgation d’informations Important CVE-2017-16369
Contournement de sécurité Exécution de code à distance
Critique
CVE-2017-16380
Epuisement de la pile Consommation excessive des ressources Important CVE-2017-16419
Confusion de type Exécution de code à distance Critique CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Déréférencement d’un pointeur non approuvé Exécution de code à distance Critique CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé
ces problèmes et joint leurs efforts aux nôtres pour protéger les clients :

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu de Xuanwu LAB de Tencent pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Liu de Xuanwu LAB de Tencent (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me) d’Offensive Security pour sa contribution au projet Zero Day Initiative de Trend Micro ( CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic de Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) du Tencent Security Platform Department (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang de la Beihang University (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ de Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren de NCC Group Plc (CVE-2017-16380)
  • Gal De Leon de Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari (Project Srishti) pour sa collaboration avec iDefense Labs (CVE-2017-16368)