Adobe corrige 13 failles dans Flash Player et 29 failles liées à Adobe Reader et Acrobat
Affectant les systèmes Windows, OS X, Linux et Chrome OS
Le 2017-01-12 18:07:31, par Olivier Famien, Chroniqueur Actualités
Il y a quelques jours, Adobe a corrigé plusieurs failles dans ses différentes applications. Les produits concernés sont le plug-in Adobe Flash Player utilisé pour lire les contenus multimédias en ligne, le logiciel gratuit Adobe Reader utilisé pour lire, imprimer et insérer des commentaires dans des documents PDF et l’application Adobe Acrobat qui est la version payante d’Adobe Reader disposant de plus de fonctionnalités.
Pour ce qui concerne le plug-in Adobe Flash Player, treize failles avec les références suivantes ont été corrigées : CVE-2017-2925, CVE-2017-2926, CVE-2017-2927, CVE-2017-2928, CVE-2017-2930, CVE-2017-2931, CVE-2017-2932, CVE-2017-2933, CVE-2017-2934, CVE-2017-2935, CVE-2017-2936, CVE-2017-2937, CVE-2017-2938. Ces failles concernent les différentes versions du plug-in sur les systèmes Windows, Macintosh, Linux et Chrome OS. De manière détaillée, la faille CVE-2017-2938 qui touche la version 24.0.0.186 d’Adobe Flash et les versions inférieures pourrait être exploitée pour contourner la sécurité liée à la gestion des connexions TCP. Les failles CVE-2017-2932, CVE-2017-2936 et CVE-2017-2937 elles pourraient être utilisées par des tiers malveillants pour exécuter du code arbitraire dans plusieurs classes ActionScript.
Les failles CVE-2017-2927, CVE-2017-2933, CVE-2017-2934 et CVE-2017-2935 concernent des débordements de mémoire qui pourraient permettre à un attaquant d’exécuter du code arbitraire. Et enfin, nous avons les failles CVE-2017-2925, CVE-2017-2926, CVE-2017-2928, CVE-2017-2930 et CVE-2017-2931 qui sont liées à des corruptions de mémoire pouvant déboucher sur l’exécution de code arbitraire dans le plug-in.
À côté de Flash Player, Adobe a corrigé plusieurs failles liées à Adobe Reader et Acrobat. Ces failles qui sont au nombre de 29 affectent les systèmes Windows et Macintosh. La faille CVE-2017-2962 qui est vulnérabilité de confusion de types dans le moteur XSLT pourrait permettre à une personne informée de cette vulnérabilité d’exécuter du code arbitraire dans Acrobat Reader.
Les failles CVE-2017-2950, CVE-2017-2951, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958 et CVE-2017-2961 ont été détectées dans le moteur JavaScript et pourrait être utilisées pour exécuter du code arbitraire dans les versions 15.020.20042 et antérieures d’Adobe Acrobat Reader, 15.006.30244 et antérieures, 11.0.18 et versions antérieures.
Les six failles CVE-2017-2942, CVE-2017-2945, CVE-2017-2946, CVE-2017-2949, CVE-2017-2959 et CVE-2017-2966 quant à elles concernent des débordements de mémoire lors du traitement des informations dans les versions 15.020.20042 et antérieures d’Adobe Reader, les versions 15.006.30244 et antérieures ainsi que les 11.0.18 et antérieures. Pour ce qui concerne les deux failles CVE-2017-2948 et CVE-2017-2952, elles décrivent des débordements de mémoire tampon dans le moteur XFA et dans le module de conversion d’image.
En plus de toutes ces vulnérabilités, Adobe a également corrigé les 12 failles CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2943, CVE-2017-2944, CVE-2017-2953, CVE-2017-2954, CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965 et CVE-2017-2967 liées à des corruptions de mémoire dans le traitement de certaines informations dans différentes versions d’Adobe Acrobat Reader. Enfin, la dernière faille à avoir été corrigée est la vulnérabilité CVE-2017-2947 liée à un contournement de la sécurité dans les versions 15.020.20042 et antérieures d’Adobe Acrobat Reader, les versions 15.006.30244 et antérieures, les versions 11.0.18 et antérieures pendant la manipulation du format de fichier FDF.
Adobe a sorti des mises à jour des différents produits de Flash Player, Adobe Acrobat et Adobe Acrobat Reader et encourage les utilisateurs à appliquer ces correctifs.
Source : Bulletin de sécurité pour Flash Player, Bulletin de sécurité pour Adobe Acrobat et Reader
Et vous ?
Voir aussi
Pour ce qui concerne le plug-in Adobe Flash Player, treize failles avec les références suivantes ont été corrigées : CVE-2017-2925, CVE-2017-2926, CVE-2017-2927, CVE-2017-2928, CVE-2017-2930, CVE-2017-2931, CVE-2017-2932, CVE-2017-2933, CVE-2017-2934, CVE-2017-2935, CVE-2017-2936, CVE-2017-2937, CVE-2017-2938. Ces failles concernent les différentes versions du plug-in sur les systèmes Windows, Macintosh, Linux et Chrome OS. De manière détaillée, la faille CVE-2017-2938 qui touche la version 24.0.0.186 d’Adobe Flash et les versions inférieures pourrait être exploitée pour contourner la sécurité liée à la gestion des connexions TCP. Les failles CVE-2017-2932, CVE-2017-2936 et CVE-2017-2937 elles pourraient être utilisées par des tiers malveillants pour exécuter du code arbitraire dans plusieurs classes ActionScript.
Les failles CVE-2017-2927, CVE-2017-2933, CVE-2017-2934 et CVE-2017-2935 concernent des débordements de mémoire qui pourraient permettre à un attaquant d’exécuter du code arbitraire. Et enfin, nous avons les failles CVE-2017-2925, CVE-2017-2926, CVE-2017-2928, CVE-2017-2930 et CVE-2017-2931 qui sont liées à des corruptions de mémoire pouvant déboucher sur l’exécution de code arbitraire dans le plug-in.
À côté de Flash Player, Adobe a corrigé plusieurs failles liées à Adobe Reader et Acrobat. Ces failles qui sont au nombre de 29 affectent les systèmes Windows et Macintosh. La faille CVE-2017-2962 qui est vulnérabilité de confusion de types dans le moteur XSLT pourrait permettre à une personne informée de cette vulnérabilité d’exécuter du code arbitraire dans Acrobat Reader.
Les failles CVE-2017-2950, CVE-2017-2951, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958 et CVE-2017-2961 ont été détectées dans le moteur JavaScript et pourrait être utilisées pour exécuter du code arbitraire dans les versions 15.020.20042 et antérieures d’Adobe Acrobat Reader, 15.006.30244 et antérieures, 11.0.18 et versions antérieures.
Les six failles CVE-2017-2942, CVE-2017-2945, CVE-2017-2946, CVE-2017-2949, CVE-2017-2959 et CVE-2017-2966 quant à elles concernent des débordements de mémoire lors du traitement des informations dans les versions 15.020.20042 et antérieures d’Adobe Reader, les versions 15.006.30244 et antérieures ainsi que les 11.0.18 et antérieures. Pour ce qui concerne les deux failles CVE-2017-2948 et CVE-2017-2952, elles décrivent des débordements de mémoire tampon dans le moteur XFA et dans le module de conversion d’image.
En plus de toutes ces vulnérabilités, Adobe a également corrigé les 12 failles CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2943, CVE-2017-2944, CVE-2017-2953, CVE-2017-2954, CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965 et CVE-2017-2967 liées à des corruptions de mémoire dans le traitement de certaines informations dans différentes versions d’Adobe Acrobat Reader. Enfin, la dernière faille à avoir été corrigée est la vulnérabilité CVE-2017-2947 liée à un contournement de la sécurité dans les versions 15.020.20042 et antérieures d’Adobe Acrobat Reader, les versions 15.006.30244 et antérieures, les versions 11.0.18 et antérieures pendant la manipulation du format de fichier FDF.
Adobe a sorti des mises à jour des différents produits de Flash Player, Adobe Acrobat et Adobe Acrobat Reader et encourage les utilisateurs à appliquer ces correctifs.
Source : Bulletin de sécurité pour Flash Player, Bulletin de sécurité pour Adobe Acrobat et Reader
Et vous ?
Voir aussi
-
RyzenOCInactifje comprend pas comment un lecteur pdf peut (encore en 2017) avoir des failles....Je comprend pas comment (et comment une tels abomination est possibled’exécuter du code arbitraire dans Acrobat Reader.
) on peut exécuter du code dans un lecteur pdf ?
Un peu comme les failles sous windows liées à des trucs vraiment pourrie comme les polices d'écriture TrueType, pourquoile 12/01/2017 à 23:16 -
SkyZoThreaDMembre expérimentéC'est clair ! Comment un projet si simple et si ancien peut encore être bourré de failles après tant d'années et si peu d'implémentations de fonctionnalités.
Et bien tant qu'il y a du code machine qui manipule de la donnée les failles sont possibles. Même une police a besoin de code pour être convertie en image. Cependant, il y a beaucoup d'applis plus récentes et plus critiques qui ne souffrent pas de tant de failles.
Bref, adobe a gagné le droit d'être banni d'internet grâce au html5 qui remplace de plus en plus le flash, et des desktop grâce aux nombreuses alternatives à reader qu'on peut trouver aujourd'hui. J'ose espérer que ça leur fera les pieds mais j'avoue que j'ai un doute.le 13/01/2017 à 8:46 -
marsupialExpert éminentQu'ils nous doivent des sous.Qu’en pensez-vous ?
Autant que cela se passe bien vu le coût de la licence Photoshop... dès qu'Adobe nous appartient, nous sécuriserons, nous.le 12/01/2017 à 19:50