Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB20-13
Référence du bulletin Date de publication Priorité 
APSB20-13 17 mars 2020 2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Ces mises à jour corrigent des vulnérabilités critiques et importantes. Une exploitation réussie est susceptible d'entraîner l'exécution d'un code arbitraire dans le contexte de l'utilisateur actuel. 


Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC  Continuous 

2020.006.20034 et versions antérieures  Windows et macOS
Acrobat Reader DC Continuous  2020.006.20034 et versions précédentes
Windows et macOS
       
Acrobat 2017 Classic 2017 2017.011.30158 et versions antérieures  Windows et macOS
Acrobat Reader 2017 Classic 2017 2017.011.30158 et versions antérieures Windows et macOS
       
Acrobat 2015  Classic 2015 2015.006.30510 et versions antérieures Windows et macOS
Acrobat Reader 2015 Classic 2015 2015.006.30510 et versions antérieures Windows et macOS

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continuous 2020.006.20042 Windows et macOS 2

Windows    

macOS  

Acrobat Reader DC Continuous 2020.006.20042
Windows et macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30166 Windows et macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30166 Windows et macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30518 Windows et macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30518 Windows et macOS 2

Windows

macOS

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Lecture hors limites   Divulgation d’informations   Importante   

CVE-2020-3804

CVE-2020-3806

Ecriture hors limites
Exécution de code arbitraire      Critique CVE-2020-3795
Débordement de mémoire tampon associée à la pile
Exécution de code arbitraire      Critique CVE-2020-3799

Utilisation de zone désallouée Exécution de code arbitraire  Critique

CVE-2020-3792

CVE-2020-3793

CVE-2020-3801

CVE-2020-3802

CVE-2020-3805

Fuite d’adresse mémoire  
Divulgation d’informations  
Important  
CVE-2020-3800
Dépassement de tampon
Exécution de code arbitraire 
Critique
CVE-2020-3807
Corruption de mémoire
Exécution de code arbitraire 
Critique
CVE-2020-3797
Chargement non sécurisé de la bibliothèque (Détournement de DLL)
Réaffectation de privilèges
Important  
CVE-2020-3803

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :    

  • hungtt28 de Viettel Cyber Security pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2020-3802)
  • Huw Pigott de Shearwater Solutions, une société CyberCX (CVE-2020-3803)
  • Duy Phan Thanh (bit) de STAR Labs (CVE-2020-3800, CVE-2020-3801)
  • Ke Liu de Tencent Security Xuanwu Lab (CVE-2020-3804, CVE-2020-3805)
  • STARLabs @PTDuy pendant la compétition Tianfu Cup (CVE-2020-3793)
  • T Sung Ta (@Mipu94) de SEFCOM Lab, Université d’État de l’Arizona (CVE-2020-3792)
  • Xinyu Wan, Yiwei Zhang et Wei You de la Renmin University en Chine (CVE-2020-3806, CVE-2020-3807, CVE-2020-3795, CVE-2020-3797)
  • Xu Peng et Su Purui du TCA/SKLCS Institute of Software Chinese Academy of Sciences et Wang Yanhao du QiAnXin Technology Research Institute (CVE-2020-3799)