Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Acrobat et Reader  | APSB22-16

Référence du bulletin

Date de publication

Priorité 

APSB22-16

12 avril 2022

2

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Ces mises à jour corrigent  plusieurs vulnérabilités critiquesimportantes et modérées. L’exploitation réussie de ces vulnérabilités est susceptible d’entraîner l’exécution de code arbitraire, une fuite de mémoire, le contournement de fonctions de sécurité et la réaffectation de privilèges.          

Versions concernées

Produit

Suivi

Versions concernées

Plate-forme

Acrobat DC 

Continuous 

22.001.20085 et versions antérieures

Windows et  macOS

Acrobat Reader DC

Continuous 

22.001.20085 et versions antérieures 
 

Windows et macOS




     

Acrobat 2020

Classic 2020           

20.005.30314 et versions antérieures  (Windows)


20.005.30311 et versions antérieures (macOS)

Windows et macOS

Acrobat Reader 2020

Classic 2020           

20.005.30314 et versions antérieures  (Windows)


20.005.30311 et versions antérieures (macOS)

Windows et macOS

 

 

 

 

Acrobat 2017

Classic 2017

17.012.30205 et versions antérieures          

Windows et macOS

Acrobat Reader 2017

Classic 2017

17.012.30205  et versions antérieures        
  

Windows et macOS

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC

Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.

Solution

Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.    

Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.     

  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.      

  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.     

Pour les administrateurs informatiques (environnements gérés) :

  • Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.     

  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.     

   

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :   

Produit

Suivi

Versions mises à jour

Plate-forme

Priorité

Disponibilité

Acrobat DC

Continuous

22.001.20117 (Win)


22.001.20112 (Mac)

Windows et macOS

2

Acrobat Reader DC

Continuous

22.001.20117 (Win)


22.001.20112 (Mac)

Windows et macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30334 (Win)

 

20.005.30331 (Mac)

 

Windows  et macOS  

2

Acrobat Reader 2020

Classic 2020 

20.005.30334 (Win)

 

20.005.30331 (Mac)

Windows  et macOS 

2

Acrobat 2017

Classic 2017

17.012.30229 (Win)


17.012.30227 (Mac)

Windows et macOS

2

Acrobat Reader 2017

Classic 2017

17.012.30229 (Win)


17.012.30227 (Mac)

Windows et macOS

2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Score de base CVSS Vecteur CVSS Référence CVE
Utilisation de zone désallouée (CWE-416)
Fuite de mémoire Modéré 3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-24101
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-24103
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-24104
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27785
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-24102
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27786
Écriture hors limites (CWE-787)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27787
Écriture hors limites (CWE-787)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27788
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27789
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27790
Débordement de tampon basé sur des piles (CWE-121)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27791
Écriture hors limites (CWE-787)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27792
Écriture hors limites (CWE-787)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27793
Accès au pointeur non initialisé (CWE-824)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27794
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27795
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27796
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27797
Écriture hors limites (CWE-787)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27798
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27799
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27800
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27801
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27802
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28230
Lecture hors limites (CWE-125)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28231
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28232
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28233
Débordement de tampon basé sur des piles (CWE-122)
Exécution de code arbitraire
Critique 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28234
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28235
Écriture hors limites (CWE-787)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28236
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28237
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28238
Lecture hors limites (CWE-125)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28239
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28240
Lecture hors limites (CWE-125)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28241
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28242
Lecture hors limites (CWE-125)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28243
Violation des principes de design sécurisé (CWE-657)
Exécution de code arbitraire
Importante 6.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
CVE-2022-28244
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28245
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28246
Support manquant pour le contrôle d’intégrité (CWE-353)
Réaffectation de privilèges
Important
6.7 CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28247
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28248
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28249
Utilisation de zone désallouée (CWE-416)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28250
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28251
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-28252
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28253
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28254
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28255
Utilisation de zone désallouée (CWE-416)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28256
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28257
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28258
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28259
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28260
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28261
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28262
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28263
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28264
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28265
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28266
Lecture hors limites (CWE-125)
Fuite de mémoire Importante
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28267
Lecture hors limites (CWE-125)
Fuite de mémoire Modéré  3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-28268
Utilisation de zone désallouée (CWE-416)
Fuite de mémoire Modéré  3.3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2022-28269
Utilisation de zone désallouée (CWE-416)
Fuite de mémoire Modérée 5.5 CVSS: 3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2022-28837
Utilisation de zone désallouée (CWE-416)
Exécution de code arbitraire
Critique 7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2022-28838

Remerciements

Adobe tient à remercier les personnes/organisations suivantes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Mat Powell du projet Zero Day Initiative de Trend Micro - CVE-2022-28250, CVE-2022-28251, CVE-2022-28252, CVE-2022-28253, CVE-2022-28254, CVE-2022-28255, CVE-2022-28256, CVE-2022-28257, CVE-2022-28258, CVE-2022-28259, CVE-2022-28260, CVE-2022-28261, CVE-2022-28262, CVE-2022-28263, CVE-2022-28264, CVE-2022-28265, CVE-2022-28266, CVE-2022-28267, CVE-2022-28268, CVE-2022-28239, CVE-2022-28240, CVE-2022-28241, CVE-2022-28242, CVE-2022-28243, CVE-2022-27800, CVE-2022-27802, CVE-2022-24101, CVE-2022-28837, CVE-2022-28838
  • Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro - CVE-2022-27785, CVE-2022-27786, CVE-2022-27787, CVE-2022-27788, CVE-2022-27790, CVE-2022-27791, CVE-2022-27792, CVE-2022-27793, CVE-2022-27794, CVE-2022-27797, CVE-2022-27798, CVE-2022-27801, CVE-2022-28231, CVE-2022-28232, CVE-2022-28233, CVE-2022-28236, CVE-2022-28237, CVE-2022-28238, CVE-2022-28245, CVE-2022-28246, CVE-2022-28248, CVE-2022-28269, CVE-2022-24102, CVE-2022-24103, CVE-2022-24104
  • Mark Vincent Yason (@MarkYason) pour sa contribution au projet Zero Day Initiative de Trend Micro - CVE-2022-27795, CVE-2022-27796, CVE-2022-27799, CVE-2022-28230, CVE-2022-28235
  • Krishnakant Patil et Ashfaq Ansari de HackSys Inc, pour leur contribution au projet Zero Day Initiative de Trend Micro - CVE-2022-28249, CVE-2022-27789
  • Lockheed Martin Red Team - CVE-2022-28247
  • Gehirn Inc. - Maru Asahina, Ren Hirasawa, Tatsuki Maekawa(@mtk0308), Tsubasa Iinuma, Hikaru Ida(@howmuch515) - CVE-2022-28244
  • RUC_SE_SEC (ruc_se_sec) - CVE-2022-28234


Révisions :

18 avril 2022 : modification des remerciements pour CVE-2022-24102, CVE-2022-24103, CVE-2022-24104

9 mai 2022 : ajout d’informations pour CVE-2022-28837, CVE-2022-28838


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

Logo Adobe

Accéder à votre compte