Date de publication : 9 décembre 2014
Identifiant de vulnérabilité : APSB14-28
Priorité : Voir le tableau ci-dessous
Références CVE : CVE-2014-9165, CVE-2014-8445, CVE-2014-9150, CVE-2014-8446, CVE-2014-8447, CVE-2014-8448, CVE-2014-8449, CVE-2014-8451, CVE-2014-8452, CVE-2014-8453, CVE-2014-8454, CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159
Plates-formes : Windows et Macintosh
Adobe a publié des mises à jour de sécurité d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à niveau leurs installations vers la dernière version :
- Les utilisateurs d’Adobe Reader XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
- Les utilisateurs d’Adobe Reader X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.
- Les utilisateurs d’Adobe Acrobat XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
- Les utilisateurs d’Adobe Acrobat X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.
- Adobe Reader XI (11.0.09) et versions 11.x antérieures
- Adobe Reader X (10.1.12) et versions 10.x antérieures
- Adobe Reader XI (11.0.09) et versions 11.x antérieures
- Adobe Reader X (10.1.12) et versions 10.x antérieures
Adobe recommande aux utilisateurs d’effectuer la mise à niveau de leurs installations en procédant comme suit :
Adobe Reader
Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.
Les utilisateurs d’Adobe Reader pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Les utilisateurs d’Adobe Reader pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
Les mises à jour par défaut du produit sont configurées de manière à ce qu'elles soient exécutées régulièrement. Il est possible de les activer manuellement en sélectionnant Aide > Rechercher les mises à jour.
Les utilisateurs d’Adobe Acrobat Standard et Pro pour Windows peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Les utilisateurs d’Adobe Acrobat Pro pour Macintosh peuvent trouver la mise à jour désirée en se rendant sur : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Ces mises à niveau corrigent des vulnérabilités critiques du logiciel.
Adobe a publié des mises à jour de sécurité pour les versions d'Adobe Reader et Acrobat pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités susceptibles de permettre à un pirate de contrôler le système concerné. Adobe recommande aux utilisateurs de mettre à niveau leurs installations vers la dernière version :
- Les utilisateurs d’Adobe Reader XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
- Les utilisateurs d’Adobe Reader X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.
- Les utilisateurs d’Adobe Acrobat XI versions 11.0.09 et antérieures doivent effectuer une mise à jour vers la version 11.0.10.
- Les utilisateurs d’Adobe Acrobat X versions 10.1.12 et antérieures doivent effectuer une mise à jour vers la version 10.1.13.
Ces mises à jour corrigent des vulnérabilités de type utilisation de zone désallouée susceptibles d’entraîner l’exécution de code (CVE-2014-8454, CVE-2014-8455, CVE-2014-9165).
Ces mises à jour corrigent des vulnérabilités de type débordement de la mémoire tampon basée sur le tas susceptibles d’entraîner l’exécution de code (CVE-2014-8457, CVE-2014-8460, CVE-2014-9159).
Ces mises à jour corrigent une vulnérabilité de type « débordement d’entier » susceptible d’entraîner l’exécution de code (CVE-2014-8449).
Ces mises à jour corrigent des vulnérabilités de type corruption de mémoire susceptibles d’entraîner l’exécution de code (CVE-2014-8445, CVE-2014-8446, CVE-2014-8447, CVE-2014-8456, CVE-2014-8458, CVE-2014-8459, CVE-2014-8461, CVE-2014-9158).
Ces mises à jour corrigent une condition de concurrence de type TOCTOU (time-of-check time-of-use) susceptible d’être exploitée pour activer l’accès arbitraire en écriture au système de fichiers (CVE-2014-9150).
Ces mises à jour corrigent la mise en œuvre incorrecte d’une API JavaScript susceptible d’entraîner la divulgation d’informations (CVE-2014-8448, CVE-2014-8451).
Ces mises à jour corrigent une vulnérabilité associée à l’exploitation d’éléments XML externes susceptible d’entraîner une divulgation d’informations (CVE-2014-8452).
Ces mises à jour corrigent une vulnérabilité pouvant être utilisée pour contourner la stratégie de même origine (CVE-2014-8453).
Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- Alex Inführ de Cure53.de (CVE-2014-8451, CVE-2014-8452, CVE-2014-8453)
- Ashfaq Ansari de Payatu Technologies (CVE-2014-8446)
- Corbin Souffrant, Armin Buescher et Dan Caselden de FireEye (CVE-2014-8454)
- Jack Tang de Trend Micro (CVE-2014-8447)
- James Forshaw du project Google Project Zero (CVE-2014-9150)
- lokihardt@asrt (CVE-2014-8448)
- Mateusz Jurczyk du projet Google Project Zero et Gynvael Coldwind du service de sécurité de Google (CVE-2014-8455, CVE-2014-8456, CVE-2014-8457, CVE-2014-8458, CVE-2014-8459, CVE-2014-8460, CVE-2014-8461, CVE-2014-9158, CVE-2014-9159)
- Pedro Ribeiro d’Agile Information Security (CVE-2014-8449)
- Wei Lei et Wu Hongjun de la Nanyang Technological University (-8445, CVE-2014-, CVE-2014-9165)