Adobe corrige de nouvelles failles de sécurité pour Acrobat et Adobe Reader

Adobe a publié hier une mise à jour de sécurité ayant pour objectif de
résoudre deux failles critiques découvertes dans les logiciels Adobe
Acrobat et Adobe Reader. Le géant du logiciel a fait savoir dans son bulletin de sécurité publié
hier que ces nouveaux bugs, découverts dans deux de ses logiciels parmi
les plus populaires grâce à l’action des chercheurs Sebastian Apelt et
Abdul Aziz Hariri via l’initative Zero Day de Trend Micro, pouvaient
notamment entraîner une escalade des privilèges, ainsi qu’une exécution
arbitraire du code dans le contexte de l’utilisateur actuel.

 

La première vulnérabilité découverte par le groupe, répondant au doux nom de code de CVE-2018-16011, recouvre un problème d’utilisation après utilisation libre qui peut conduire à une exécution arbitraire du code s’il est exploité – ce qui, à son tour, pourrait permettre l’exécution de charges utiles malveillantes ou encore le détournement de compte.

La seconde, baptisée CVE-2018-19725, conduit à un problème de contournement de la sécurité permettant aux pirates potentiels d’augmenter leurs niveaux de privilèges administrateur, avec à la clé des risques d’attaques ou de manipulation du système permettant la dotation de privilèges supplémentaires allant au-delà des limites habituellement réservées aux comptes utilisateurs.

A noter que cette mise à jour concerne les versions Adobe Acrobat DC et Acrobat Reader DC 2019.010.20064 et antérieures, Acrobat 2017 et Acrobat Reader 2017 en version 2017.011.30110 et antérieures, ainsi que les versions Acrobat DC et Acrobat Reader DC versions 2015.006.30461 et antérieures sur les machines Windows et MacOS.

Afin de se prémunir contre les exploitations éventuelles de ces vulnérabilités, les utilisateurs doivent accepter les mises à jour de sécurité entrantes et passer à Acrobat DC et Acrobat Reader DC version 2019.010.20069, Acrobat 2017 et Acrobat Reader DC 2017 version 2017.011.30113, ou Acrobat DC et Acrobat Reader en version 2015.006.30464.

Rappelons qu’Adobe a déjà été la cible d’une attaque d’envergure en novembre dernier. C’est en effet à cette date que des chercheurs de la société Volexity ont averti que les serveurs ColdFusion d’Adobe, qui n’avaient pas encore été patchés contre une série de vulnérabilités résolues en septembre, étaient activement visés par des groupes de cybercriminels. 

Article « Adobe squashes critical bugs in Acrobat, Reader » traduit et adapté par ZDNet.fr

Source