Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Acrobat et Reader

Date de publication : 14 juillet 2015

Identifiant de vulnérabilité : APSB15-15

Priorité : Voir le tableau ci-dessous

Références CVE :  CVE-2014-0566, CVE-2014-8450, CVE-2015-3095, CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4443, CVE-2015-4444, CVE-2015-4445, CVE-2015-4446, CVE-2015-4447, CVE-2015-4448, CVE-2015-4449, CVE-2015-4450, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086, CVE-2015-5087, CVE-2015-5088, CVE-2015-5089, CVE-2015-5090, CVE-2015-5091, CVE-2015-5092, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5099, CVE-2015-5100, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5105, CVE-2015-5106, CVE-2015-5107, CVE-2015-5108, CVE-2015-5109, CVE-2015-5110, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115

Plates-formes : Windows et Macintosh

Synthèse

Adobe a publié des mises à jour de sécurité d’Adobe Acrobat et Reader pour Windows et Macintosh. Ces mises à jour corrigent des vulnérabilités critiques susceptibles de permettre à un pirate de prendre le contrôle du système concerné.   

Versions concernées

Produit Suivi Versions concernées Plate-forme
Acrobat DC Continue 2015.007.20033
Windows et Macintosh
Acrobat Reader DC Continue 2015.007.20033
Windows et Macintosh
       
Acrobat DC Standard 2015.006.30033
Windows et Macintosh
Acrobat Reader DC Standard 2015.006.30033
Windows et Macintosh
       
Acrobat XI Sans objet Versions 11.0.11 et antérieures Windows et Macintosh
Acrobat X Sans objet Versions 10.1.14 et antérieures Windows et Macintosh
       
Reader XI Sans objet Versions 11.0.11 et antérieures Windows et Macintosh
Reader X Sans objet Versions 10.1.14 et antérieures Windows et Macintosh

Pour plus d’informations concernant Acrobat DC, consultez les questions fréquemment posées à propos d’Acrobat DC. Pour plus d’informations concernant Acrobat Reader DC, consultez les questions fréquemment posées à propos d’Acrobat Reader DC.   

Solution

Adobe recommande aux utilisateurs de mettre à jour leurs installations logicielles vers les dernières versions via l’une des méthodes suivantes :

  • Les utilisateurs peuvent mettre à jour leurs installations manuellement en sélectionnant le menu Aide > Rechercher les mises à jour.  
  • Les produits sont mis à jour automatiquement, sans l’intervention de l’utilisateur, lorsque des mises à jour sont détectées.  
  • Un programme d’installation complet d’Acrobat Reader peut être téléchargé à partir du Centre de téléchargement d’Acrobat Reader.  

Pour les administrateurs informatiques (environnements gérés) :  

  • Téléchargez les programmes d’installation d’entreprise à partir du site ftp://ftp.adobe.com/pub/adobe/ ou consultez la version spécifique des notes de versions pour accéder aux liens associés.  
  • Installez les mises à jour avec votre méthode préférée. Par exemple : AIP via GPO, programme d’amorçage, SCUP/SCCM (Windows), ou sur Macintosh, Apple Remote Desktop et SSH. 
Produit Suivi Versions mises à jour Plate-forme Priorité Disponibilité
Acrobat DC Continue 2015.008.20082
Windows et Macintosh
2

Windows

Macintosh

Acrobat Reader DC Continue 2015.008.20082
Windows et Macintosh 2 Centre de téléchargement
           
Acrobat DC Standard 2015.006.30060
Windows et Macintosh 2

Windows

Macintosh

Acrobat Reader DC Standard 2015.006.30060
Windows et Macintosh 2

Windows

Macintosh

           
Acrobat XI Sans objet 11.0.12 Windows et Macintosh 2

Windows

Macintosh

Acrobat X Sans objet 10.1.15 Windows et Macintosh 2

Windows

Macintosh

           
Reader XI Sans objet 11.0.12 Windows et Macintosh 2

Windows

Macintosh

Reader X Sans objet 10.1.15 Windows et Macintosh 2

Windows

Macintosh

Détails concernant la vulnérabilité

  • Ces mises à jour corrigent une vulnérabilité de type débordement de mémoire tampon susceptible d’entraîner l’exécution de code (CVE-2015-5093).  
  • Ces mises à jour corrigent des vulnérabilités de type « débordement de la mémoire tampon au niveau du tas » susceptibles d’entraîner l’exécution de code (CVE-2015-5096, CVE-2015-5098, CVE-2015-5105).  
  • Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2015-5087, CVE-2015-5094, CVE-2015-5100, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-3095, CVE-2015-5115, CVE-2014-0566). 
  • Ces mises à jour corrigent une vulnérabilité susceptible d’entraîner la fuite d’informations (CVE-2015-5107).  
  • Ces mises à jour corrigent des vulnérabilités de type « contournement de sécurité » (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2015-5092, CVE-2014-8450).  
  • Ces mises à niveau corrigent une vulnérabilité de type débordement de pile susceptible d'entraîner l'exécution de code (CVE-2015-5110). 
  • Ces mises à jour corrigent des vulnérabilités de type « utilisation de zone désallouée » susceptibles d’entraîner l’exécution de code (CVE-2015-4448, CVE-2015-5095, CVE-2015-5099, CVE-2015-5101, CVE-2015-5111, CVE-2015-5113, CVE-2015-5114). 
  • Ces mises à jour corrigent des problèmes de contournement de validation susceptibles d’être exploités pour obtenir une escalade de privilèges d’un niveau d’intégrité bas à intermédiaire (CVE-2015-4446, CVE-2015-5090, CVE-2015-5106). 
  • Ces mises à jour corrigent un problème de contournement de validation susceptible d’être exploité pour entraîner une condition de déni de service sur le système concerné (CVE-2015-5091).  
  • Ces mises à jour corrigent des vulnérabilités de type « corruption de mémoire » susceptibles d’entraîner l’exécution de code (CVE-2015-5097, CVE-2015-5108, CVE-2015-5109).  
  • Ces mises à jour corrigent diverses méthodes permettant de contourner les restrictions lors de l’exécution d’API en JavaScript (CVE-2015-4435, CVE-2015-4438, CVE-2015-4441, CVE-2015-4445, CVE-2015-4447, CVE-2015-4451, CVE-2015-4452, CVE-2015-5085, CVE-2015-5086).  
  • Ces mises à jour corrigent des problèmes de déréférencement de pointeur Null susceptibles d’entraîner un état de déni de service (CVE-2015-4443, CVE-2015-4444). 

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients : 

  • AbdulAziz Hariri et Jasiel Spelman du projet Zero Day Initiative d’HP (CVE-2015-5085, CVE-2015-5086, CVE-2015-5090, CVE-2015-5091) 
  • AbdulAziz Hariri du projet Zero Day Initiative d’HP (CVE-2015-4438, CVE-2015-4447, CVE-2015-4452, CVE-2015-5093, CVE-2015-5094, CVE-2015-5095, CVE-2015-5101, CVE-2015-5102, CVE-2015-5103, CVE-2015-5104, CVE-2015-5113, CVE-2015-5114, CVE-2015-5115) 
  • Alex Inführ de Cure53.de (CVE-2015-4449, CVE-2015-4450, CVE-2015-5088, CVE-2015-5089, CVE-2014-8450)  
  • bilou pour sa collaboration avec VeriSign iDefense Labs (CVE-2015-4448, CVE-2015-5099) 
  • Brian Gorenc du projet Zero Day Initiative d’HP (CVE-2015-5100, CVE-2015-5111) 
  • L’équipe de recherche de sécurité de MWR Labs (@mwrlabs) (CVE-2015-4451) 
  • James Forshaw du project Google Project Zero (CVE-2015-4446) 
  • Jihui Lu de KeenTeam (CVE-2015-5087) 
  • JinCheng Liu de l’équipe de recherche de sécurité d’Alibaba (CVE-2015-5096, CVE-2015-5097, CVE-2015-5098, CVE-2015-5105) 
  • Tom Ferris pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-5108) 
  • Kernelsmith pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-4435, CVE-2015-4441) 
  • Mateusz Jurczyk du projet Google Project Zero (CVE-2015-3095) 
  • Matt Molinyawe du projet Zero Day Initiative d’HP (CVE-2015-4445) 
  • Mauro Gentile de Minded Security (CVE-2015-5092) 
  • Nicolas Joly pour sa contribution au projet Zero Day Initiative d’HP (CVE-2015-5106, CVE-2015-5107, CVE-2015-5109, CVE-2015-5110) 
  • Wei Lei et Wu Hongjun de la Nanyang Technological University (-0566-, CVE-2014) 
  • Wu Ha de l’équipe de recherche de sécurité d’Alibaba (CVE-2015-4443, CVE-2015-4444)