Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB21-51

Référence du bulletin

Date de publication

Priorité 

APSB21-51

13 juillet 2021

2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes. Une exploitation réussie est susceptible d’entraîner l’exécution d’un code arbitraire dans l’environnement de l’utilisateur actuel.

 

Versions concernées

Produit

Suivi

Versions concernées

Plate-forme

Priority rating                 

Acrobat DC 

Continuous 

2021.005.20054 et versions antérieures          

Windows et macOS

2

Acrobat Reader DC

Continuous 

2021.005.20054 et versions antérieures          

Windows et macOS

2

 

 

 

 

2

Acrobat 2020

Classicؘ 2020           

2020.004.30005 et versions antérieures

Windows et macOS

2

Acrobat Reader 2020

Classicؘ 2020           

2020.004.30005 et versions antérieures

Windows et macOS

2

 

 

 

 

2

Acrobat 2017

Classic 2017

2017.011.30197 et versions antérieures          

Windows et macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30197 et versions antérieures          

Windows et macOS

2

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.     

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit

Suivi

Versions mises à jour

Plate-forme

Priorité

Disponibilité

Acrobat DC

Continuous

2021.005.20058       

Windows et macOS

2

Acrobat Reader DC

Continuous

2021.005.20058  

Windows et macOS

2

 

 

 

 

 

 

Acrobat 2020

Classicؘ 2020           

2020.004.30006 

Windows et macOS     

2

Acrobat Reader 2020

Classicؘ 2020           

2020.004.30006 

Windows et macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199 

Windows et macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199  

Windows et macOS

2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Score de base CVSS 
Vecteur CVSS
Référence CVE

Lecture hors limites 

(CWE-125

Fuite de mémoire Importante
3,3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

Path Traversal

(CWE-22)

Exécution de code arbitraire
Critique
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

Utilisation de zone désallouée

(CWE-416)

Exécution de code arbitraire 
Critique
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

Confusion de type

(CWE-843)

Exécution de code arbitraire 
Critique
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

Utilisation de zone désallouée

(CWE-416)

Exécution de code arbitraire 
Critique
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

Écriture hors limites

(CWE-787)

Écriture arbitraire dans le système de fichiers
Critique
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

Lecture hors limites

(CWE-125)

Fuite de mémoire
Critique
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

Confusion de type

(CWE-843)

Lecture arbitraire dans le système de fichiers
Importante
4.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

Débordement de mémoire tampon basée sur le tas

(CWE-122)

Exécution de code arbitraire 
Critique
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

Déréférence de pointeur NULL

(CWE-476)

Déni de service d’application
Importante
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

Élément de chemin de recherche non contrôlé

(CWE-427)

Exécution de code arbitraire 
Critique
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

Injection de commande OS

(CWE-78)

Exécution de code arbitraire 
Critique
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

Utilisation de zone désallouée 

(CWE-416)

Exécution de code arbitraire 
Critique
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

Remerciements

Adobe tient à remercier les personnes/organisations suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :  

  • Nipun Gupta, Ashfaq Ansari et Krishnakant Patil de CloudFuzz, contributeurs du projet Trend Micro Zero Day Initiative (CVE-2021-35983) 
  • Xu Peng de l’UCAS et Wang Yanhao du QiAnXin Technology Research Institute, contributeurs du projet Zero Day Initiative de Trend Micro (CVE-2021-35981, CVE-2021-28638)
  • Habooblabs (CVE-2021-35980, CVE-2021-28644, CVE-2021-35988, CVE-2021-35987, CVE-2021-28642, CVE-2021-28641, CVE-2021-35985, CVE-2021-35984, CVE-2021-28637)
  • Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2021-28643, CVE-2021-35986)
  • o0xmuhe (CVE-2021-28640)
  • Kc Udonsi (@glitchnsec) de Trend Micro Security Research, contributeur du projet Trend Micro Zero Day Initiative (CVE-2021-28639)
  • Noah (howsubtle) (CVE-2021-28634)
  • xu peng (xupeng_1231) (CVE-2021-28635)
  • Xavier Invers Fornells (m4gn3t1k) (CVE-2021-28636)

Révisions

14 juillet 2021 : Modification des informations de remerciement pour CVE-2021-28640.

15 juillet 2021 : Modification des informations de remerciement pour CVE-2021-35981.

29 juillet 2021 : mise à jour du score de base CVSS et du vecteur CVSS pour CVE-2021-28640, CVE-2021-28637, CVE-2021-28636.
29 juillet 2021 : mise à jour de l’impact, de la sévérité, du score de base CVSS et du vecteur CVSS pour CVE-2021-35988, CVE-2021-35987, CVE-2021-35987, CVE-2021-28644



 

 


For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?