Bulletin de sécurité Adobe
Bulletin de sécurité pour Adobe Acrobat et Reader | APSB18-41
Référence du bulletin Date de publication Priorité 
APSB18-41 11 décembre 2018 2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques et importantes. Une exploitation réussie est susceptible d'entraîner l'exécution d'un code arbitraire dans le contexte de l'utilisateur actuel.   

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC  Continue
Versions 2019.008.20081 et antérieures 
Windows 
Acrobat DC  Continue Versions 2019.008.20080 et antérieures macOS
Acrobat Reader DC Continue
Versions 2019.008.20081 et antérieures Windows
Acrobat Reader DC Continue Versions 2019.008.20080 et antérieures macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 et version antérieure Windows
Acrobat 2017 Classic 2017 2017.011.30105 et version antérieure macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 et version antérieure Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 et version antérieure macOS
       
Acrobat DC  Classic 2015 Versions 2015.006.30457 et antérieures  Windows
Acrobat DC  Classic 2015 Versions 2015.006.30456 et antérieures  macOS
Acrobat Reader DC  Classic 2015 Versions 2015.006.30457 et antérieures  Windows
Acrobat Reader DC Classic 2015 Versions 2015.006.30456 et antérieures  macOS

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux par le biais d’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.

Adobe attribue à ces mises à jour les niveaux de priorité suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continue 2019.010.20064 Windows et macOS 2 Windows

macOS
Acrobat Reader DC Continue 2019.010.20064
Windows et macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows et macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows et macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows et macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows et macOS 2 Windows

macOS

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE

Erreurs de mémoire tampon

 

Exécution de code arbitraire

 

Critique

 

CVE-2018-15998

CVE-2018-15987

 

Déréférencement d’un pointeur non approuvé

 

Exécution de code arbitraire

 

 

 

Critique

 

 

CVE-2018-16004

CVE-2018-19720

Contournement de sécurité

 

Réaffectation de privilèges

 

Critique

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

Utilisation de zone désallouée

 

 

 

 

Exécution de code arbitraire

 

 

 

 

Critique

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Ecriture hors limites 

 

 

 

 

Exécution de code arbitraire

 

 

 

 

Critique

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Débordement de tas

 

 

 

 

Exécution de code arbitraire

 

 

 

 

Critique

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Lecture hors limites

 

 

 

 

Divulgation d’informations

 

 

 

 

Important

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Débordement d’entier

 

Divulgation d’informations

 

 

 

Important

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Contournement de sécurité Divulgation d’informations Important CVE-2018-16042

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Vulnérabilité signalée de manière anonyme via le projet Zero Day Initiative de Trend Micro (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu de Xuanwu Lab de Tencent (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • kdot pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me) de Source Incite via le projet Zero Day Initiative de Trend Micro (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008).

  • Du pingxin de l’équipe de sécurité NSFOCUS (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang de la Beihang University pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2018-16014)

  • guyio via le projet Zero Day Initiative de Trend Micro (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng du service Security Research de Trend Micro via le projet Zero Day Initiative de Trend Micro (CVE-2018-15985)

  • XuPeng de TCA/SKLCS Institute of Software Chinese Academy of Sciences et HuangZheng de Baidu Security Lab (CVE-2018-12830)

  • Linan Hao et Zhenjie Jia de l’équipe Qihoo 360 Vulcan Team (CVE-2018-16041)

  • Steven Seeley via le projet Zero Day Initiative de Trend Micro (CVE-2018-16008)

  • Roderick Schaefer via le projet Zero Day Initiative de Trend Micro (CVE-2018-19713)

  • Lin Wang de la Beihang University (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe et Jorg Schwenk de l’Université de la Ruhr à Bochum (CVE-2018-16042)

  • Aleksandar Nikolic de Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey via le projet Zero Day Initiative de Trend Micro (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) via le projet Zero Day Initiative de Trend Micro (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Remerciements spécifiques à Abdul Aziz Hariri du projet Zero Day Initiative de Trend Micro pour sa contribution DID (defense-in-depth) permettant de rendre plus difficiles les contournements des restrictions imposées par les API JavaScript (CVE-2018-16018)

  • AbdulAziz Hariri du projet Zero Day Initiative de Trend Micro pour ses contributions DID (defense-in-depth) limitant la surface d’attaque sur les indexations d’Onix (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng de Palo Alto Networks (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang de Palo Alto Networks (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao et Qi Deng de Palo Alto Networks (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao et Zhibin Zhang de Palo Alto Networks (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu de Palo Alto Networks et Heige de l’équipe de sécurité de Knownsec 404 (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)