Référence du bulletin
Dernière mise à jour le
26 janv. 2022
Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB21-55
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB21-55 |
14 septembre 2021 |
2 |
Récapitulatif
Adobe a publié des mises à jour de sécurité pour Adobe Acrobat pour Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques, importantes et modérées. Une exploitation réussie est susceptible d’entraîner l’exécution de code arbitraire dans l’environnement de l’utilisateur actuel.
Versions concernées
|
Suivi |
Versions concernées |
Plate-forme |
|
|
Acrobat DC |
Continuous |
2021.005.20060 et versions antérieures |
Windows |
|
Acrobat Reader DC |
Continuous |
2021.005.20060 et versions antérieures |
Windows |
|
Acrobat DC |
Continuous |
2021.005.20058 et versions antérieures |
macOS |
|
Acrobat Reader DC |
Continuous |
2021.005.20058 et versions antérieures |
macOS |
|
|
|
|
|
|
Acrobat 2020 |
Classicؘ 2020 |
2020.004.30006 et versions antérieures |
Windows et macOS |
|
Acrobat Reader 2020 |
Classicؘ 2020 |
2020.004.30006 et versions antérieures |
Windows et macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 et versions antérieures |
Windows et macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 et versions antérieures |
Windows et macOS |
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :
Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
|
Suivi |
Versions mises à jour |
Plate-forme |
Priorité |
Disponibilité |
|
|
Acrobat DC |
Continuous |
2021.007.20091 |
Windows et macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
2021.007.20091 |
Windows et macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classicؘ 2020 |
2020.004.30015 |
Windows et macOS |
2 |
|
|
Acrobat Reader 2020 |
Classicؘ 2020 |
2020.004.30015 |
Windows et macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30202 |
Windows et macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30202 |
Windows et macOS |
2 |
Détails concernant la vulnérabilité
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Score de base CVSS |
Vecteur CVSS |
Référence CVE |
|---|---|---|---|---|---|
Confusion de type (CWE-843) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39841 |
Débordement de mémoire tampon basée sur le tas (CWE-122) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39863 |
Exposition d’informations (CWE-200) |
Lecture arbitraire dans le système de fichiers |
Modéré |
3.8 |
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39857 CVE-2021-39856 CVE-2021-39855 |
Lecture hors limites (CWE-125) |
Fuite de mémoire |
Critique |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39844 |
Lecture hors limites (CWE-125) |
Fuite de mémoire |
Importante |
5.3 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39861 |
Lecture hors limites (CWE-125) |
Lecture arbitraire dans le système de fichiers |
Modéré |
3,3
|
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-39858 |
Écriture hors limites (CWE-787) |
Fuite de mémoire |
Critique |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39843 |
Débordement de mémoire tampon associée à la pile (CWE-121) |
Exécution de code arbitraire |
Critique |
7,7 |
CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H |
CVE-2021-39846 CVE-2021-39845 |
Élément de chemin de recherche non contrôlé (CWE-427) |
Exécution de code arbitraire |
Important |
7.3 |
CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35982 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Importante |
4.4 |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-39859 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-39840 CVE-2021-39842 CVE-2021-39839 CVE-2021-39838 CVE-2021-39837 CVE-2021-39836 |
Déréférencement d’un pointeur NULL (CWE-476) |
Fuite de mémoire |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39860 |
Déréférencement d’un pointeur NULL (CWE-476) |
Déni de service d’application |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39852 |
Déréférencement d’un pointeur NULL (CWE-476) |
Déni de service d’application |
Importante |
5.5 |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39854 CVE-2021-39853 CVE-2021-39850 CVE-2021-39849
|
Déréférencement d’un pointeur NULL (CWE-476) |
Déni de service d’application |
Importante |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2021-39851 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40725 |
Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique |
7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-40726 |
Remerciements
Adobe tient à remercier les personnes/organisations suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- Mark Vincent Yason (@MarkYason) pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2021-39841, CVE-2021-39836, CVE-2021-39837, CVE-2021-39838, CVE-2021-39839, CVE-2021-39840, CVE-2021-40725, CVE-2021-40726)
- Haboob labs (CVE-2021-39859, CVE-2021-39860, CVE-2021-39861, CVE-2021-39843, CVE-2021-39844, CVE-2021-39845, CVE-2021-39846)
- Robert Chen (Deep Surface<https://deepsurface.com/>) (CVE-2021-35982)
- XuPeng de UCAS et Ying Lingyun de QI-ANXIN Technology Research Institute (CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849)
- j00sean (CVE-2021-39857, CVE-2021-39856, CVE-2021-39855, CVE-2021-39842)
- Exodus Intelligence (exodusintel.com) et Andrei Stefan (CVE-2021-39863)
- Qiao Li de Baidu Security Lab pour sa contribution au projet Zero Day Initiative de Trend Micro (CVE-2021-39858)
Révisions
20 septembre 2021 : Modification des informations de remerciement pour CVE-2021-35982.
28 septembre 2021 : Modification des informations de remerciement pour CVE-2021-39863.
5 octobre 2021 : modification du score de base CVSS, du vecteur CVSS et de la gravité pour CVE-2021-39852, CVE-2021-39851, CVE-2021-39863, CVE-2021-39860, CVE-2021-39861. Ajout de données et de remerciements pour CVE-2021-40725 et CVE-2021-40726.
18 janvier 2022 : modification des informations de remerciement pour CVE-2021-39854, CVE-2021-39853, CVE-2021-39852, CVE-2021-39851, CVE-2021-39850, CVE-2021-39849
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
