Référence du bulletin
Dernière mise à jour le
May 19, 2022 01:33:48 PM GMT
Mise à jour de sécurité disponible pour Adobe Acrobat et Reader | APSB22-16
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB22-16 |
12 avril 2022 |
2 |
Récapitulatif
Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS. Ces mises à jour corrigent plusieurs vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités est susceptible d’entraîner l’exécution de code arbitraire, une fuite de mémoire, le contournement de fonctions de sécurité et la réaffectation de privilèges.
Versions concernées
|
Suivi |
Versions concernées |
Plate-forme |
|
|
Acrobat DC |
Continuous |
22.001.20085 et versions antérieures |
Windows et macOS |
|
Acrobat Reader DC |
Continuous |
22.001.20085 et versions antérieures |
Windows et macOS |
|
|
|
||
|
Acrobat 2020 |
Classic 2020 |
20.005.30314 et versions antérieures (Windows)
|
Windows et macOS |
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30314 et versions antérieures (Windows)
|
Windows et macOS |
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
17.012.30205 et versions antérieures |
Windows et macOS |
|
Acrobat Reader 2017 |
Classic 2017 |
17.012.30205 et versions antérieures |
Windows et macOS |
Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC.
Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.
Solution
Adobe invite les utilisateurs à mettre à jour leurs installations logicielles avec les dernières versions disponibles, en suivant les instructions ci-dessous.
Les dernières versions des produits sont à la disposition des utilisateurs finaux via l’une des méthodes suivantes :
Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.
Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.
Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.
Pour les administrateurs informatiques (environnements gérés) :
Reportez-vous aux notes de mise à jour pour accéder aux liens vers les programmes d’installation.
Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur macOS, Apple Remote Desktop et SSH.
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
|
Suivi |
Versions mises à jour |
Plate-forme |
Priorité |
Disponibilité |
|
|
Acrobat DC |
Continuous |
22.001.20117 (Win)
|
Windows et macOS |
2 |
|
|
Acrobat Reader DC |
Continuous |
22.001.20117 (Win)
|
Windows et macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
20.005.30334 (Win)
20.005.30331 (Mac)
|
Windows et macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
20.005.30334 (Win)
20.005.30331 (Mac) |
Windows et macOS |
2 |
|
|
Acrobat 2017 |
Classic 2017 |
17.012.30229 (Win)
|
Windows et macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
17.012.30229 (Win)
|
Windows et macOS |
2 |
Détails concernant la vulnérabilité
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Score de base CVSS | Vecteur CVSS | Référence CVE |
| Utilisation de zone désallouée (CWE-416) |
Fuite de mémoire | Modéré | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-24101 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-24103 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-24104 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27785 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-24102 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27786 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27787 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27788 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27789 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27790 |
| Débordement de tampon basé sur des piles (CWE-121) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27791 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27792 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27793 |
| Accès au pointeur non initialisé (CWE-824) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27794 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27795 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27796 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27797 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27798 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27799 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27800 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27801 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-27802 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28230 |
| Lecture hors limites (CWE-125) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28231 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28232 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28233 |
| Débordement de tampon basé sur des piles (CWE-122) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28234 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28235 |
| Écriture hors limites (CWE-787) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28236 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28237 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28238 |
| Lecture hors limites (CWE-125) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28239 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28240 |
| Lecture hors limites (CWE-125) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28241 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28242 |
| Lecture hors limites (CWE-125) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28243 |
| Violation des principes de design sécurisé (CWE-657) |
Exécution de code arbitraire |
Importante | 6.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
CVE-2022-28244 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28245 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28246 |
| Support manquant pour le contrôle d’intégrité (CWE-353) |
Réaffectation de privilèges |
Important |
6.7 | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28247 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28248 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28249 |
| Utilisation de zone désallouée (CWE-416) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28250 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28251 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-28252 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28253 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28254 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28255 |
| Utilisation de zone désallouée (CWE-416) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28256 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28257 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28258 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28259 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28260 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28261 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28262 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28263 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28264 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28265 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28266 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Importante |
5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28267 |
| Lecture hors limites (CWE-125) |
Fuite de mémoire | Modéré | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-28268 |
| Utilisation de zone désallouée (CWE-416) |
Fuite de mémoire | Modéré | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2022-28269 |
| Utilisation de zone désallouée (CWE-416) |
Fuite de mémoire | Modérée | 5.5 | CVSS: 3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
CVE-2022-28837 |
| Utilisation de zone désallouée (CWE-416) |
Exécution de code arbitraire |
Critique | 7.8 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2022-28838 |
Remerciements
Adobe tient à remercier les personnes/organisations suivantes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- Mat Powell du projet Zero Day Initiative de Trend Micro - CVE-2022-28250, CVE-2022-28251, CVE-2022-28252, CVE-2022-28253, CVE-2022-28254, CVE-2022-28255, CVE-2022-28256, CVE-2022-28257, CVE-2022-28258, CVE-2022-28259, CVE-2022-28260, CVE-2022-28261, CVE-2022-28262, CVE-2022-28263, CVE-2022-28264, CVE-2022-28265, CVE-2022-28266, CVE-2022-28267, CVE-2022-28268, CVE-2022-28239, CVE-2022-28240, CVE-2022-28241, CVE-2022-28242, CVE-2022-28243, CVE-2022-27800, CVE-2022-27802, CVE-2022-24101, CVE-2022-28837, CVE-2022-28838
- Une personne anonyme pour sa contribution au projet Zero Day Initiative de Trend Micro - CVE-2022-27785, CVE-2022-27786, CVE-2022-27787, CVE-2022-27788, CVE-2022-27790, CVE-2022-27791, CVE-2022-27792, CVE-2022-27793, CVE-2022-27794, CVE-2022-27797, CVE-2022-27798, CVE-2022-27801, CVE-2022-28231, CVE-2022-28232, CVE-2022-28233, CVE-2022-28236, CVE-2022-28237, CVE-2022-28238, CVE-2022-28245, CVE-2022-28246, CVE-2022-28248, CVE-2022-28269, CVE-2022-24102, CVE-2022-24103, CVE-2022-24104
- Mark Vincent Yason (@MarkYason) pour sa contribution au projet Zero Day Initiative de Trend Micro - CVE-2022-27795, CVE-2022-27796, CVE-2022-27799, CVE-2022-28230, CVE-2022-28235
- Krishnakant Patil et Ashfaq Ansari de HackSys Inc, pour leur contribution au projet Zero Day Initiative de Trend Micro - CVE-2022-28249, CVE-2022-27789
- Lockheed Martin Red Team - CVE-2022-28247
- Gehirn Inc. - Maru Asahina, Ren Hirasawa, Tatsuki Maekawa(@mtk0308), Tsubasa Iinuma, Hikaru Ida(@howmuch515) - CVE-2022-28244
- RUC_SE_SEC (ruc_se_sec) - CVE-2022-28234
Révisions :
18 avril 2022 : modification des remerciements pour CVE-2022-24102, CVE-2022-24103, CVE-2022-24104
9 mai 2022 : ajout d’informations pour CVE-2022-28837, CVE-2022-28838
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
Accéder à votre compte