Discussion :

[Olivier Famien]

Adobe corrige 13 failles dans Flash Player et 29 vulnérabilités liées à Adobe Reader et Acrobat,
affectant les systèmes Windows, OS X, Linux et Chrome OS

Il y a quelques jours, Adobe a corrigé plusieurs failles dans ses différentes applications. Les produits concernés sont le plug-in Adobe Flash Player utilisé pour lire les contenus multimédias en ligne, le logiciel gratuit Adobe Reader utilisé pour lire, imprimer et insérer des commentaires dans des documents PDF et l’application Adobe Acrobat qui est la version payante d’Adobe Reader disposant de plus de fonctionnalités.

Pour ce qui concerne le plug-in Adobe Flash Player, treize failles avec les références suivantes ont été corrigées : CVE-2017-2925, CVE-2017-2926, CVE-2017-2927, CVE-2017-2928, CVE-2017-2930, CVE-2017-2931, CVE-2017-2932, CVE-2017-2933, CVE-2017-2934, CVE-2017-2935, CVE-2017-2936, CVE-2017-2937, CVE-2017-2938. Ces failles concernent les différentes versions du plug-in sur les systèmes Windows, Macintosh, Linux et Chrome OS. De manière détaillée, la faille CVE-2017-2938 qui touche la version 24.0.0.186 d’Adobe Flash et les versions inférieures pourrait être exploitée pour contourner la sécurité liée à la gestion des connexions TCP. Les failles CVE-2017-2932, CVE-2017-2936 et CVE-2017-2937 elles pourraient être utilisées par des tiers malveillants pour exécuter du code arbitraire dans plusieurs classes ActionScript.

Les failles CVE-2017-2927, CVE-2017-2933, CVE-2017-2934 et CVE-2017-2935 concernent des débordements de mémoire qui pourraient permettre à un attaquant d’exécuter du code arbitraire. Et enfin, nous avons les failles CVE-2017-2925, CVE-2017-2926, CVE-2017-2928, CVE-2017-2930 et CVE-2017-2931 qui sont liées à des corruptions de mémoire pouvant déboucher sur l’exécution de code arbitraire dans le plug-in.

À côté de Flash Player, Adobe a corrigé plusieurs failles liées à Adobe Reader et Acrobat. Ces failles qui sont au nombre de 29 affectent les systèmes Windows et Macintosh. La faille CVE-2017-2962 qui est vulnérabilité de confusion de types dans le moteur XSLT pourrait permettre à une personne informée de cette vulnérabilité d’exécuter du code arbitraire dans Acrobat Reader.

Les failles CVE-2017-2950, CVE-2017-2951, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958 et CVE-2017-2961 ont été détectées dans le moteur JavaScript et pourrait être utilisées pour exécuter du code arbitraire dans les versions 15.020.20042 et antérieures d’Adobe Acrobat Reader, 15.006.30244 et antérieures, 11.0.18 et versions antérieures.

Les six failles CVE-2017-2942, CVE-2017-2945, CVE-2017-2946, CVE-2017-2949, CVE-2017-2959 et CVE-2017-2966 quant à elles concernent des débordements de mémoire lors du traitement des informations dans les versions 15.020.20042 et antérieures d’Adobe Reader, les versions 15.006.30244 et antérieures ainsi que les 11.0.18 et antérieures. Pour ce qui concerne les deux failles CVE-2017-2948 et CVE-2017-2952, elles décrivent des débordements de mémoire tampon dans le moteur XFA et dans le module de conversion d’image.

En plus de toutes ces vulnérabilités, Adobe a également corrigé les 12 failles CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2943, CVE-2017-2944, CVE-2017-2953, CVE-2017-2954, CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965 et CVE-2017-2967 liées à des corruptions de mémoire dans le traitement de certaines informations dans différentes versions d’Adobe Acrobat Reader. Enfin, la dernière faille à avoir été corrigée est la vulnérabilité CVE-2017-2947 liée à un contournement de la sécurité dans les versions 15.020.20042 et antérieures d’Adobe Acrobat Reader, les versions 15.006.30244 et antérieures, les versions 11.0.18 et antérieures pendant la manipulation du format de fichier FDF.

Adobe a sorti des mises à jour des différents produits de Flash Player, Adobe Acrobat et Adobe Acrobat Reader et encourage les utilisateurs à appliquer ces correctifs.

Source : Bulletin de sécurité pour Flash Player, Bulletin de sécurité pour Adobe Acrobat et Reader

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Flash et Java se démarquent par leurs failles de sécurité en début 2015
Adobe publie un correctif pour colmater une faille zero-day de Flash qui était exploitée depuis des mois
Une faille de sécurité de Flash Player permet de prendre le contrôle de l'ordinateur cible, désinstaller le logiciel est pour le moment la seule issue

La Rubrique Sécurité, Forum Sécurité, Cours et tutoriels Sécurité, FAQ Sécurité

[marsupial]

Qu’en pensez-vous ?

Qu'ils nous doivent des sous.
Autant que cela se passe bien vu le coût de la licence Photoshop... dès qu'Adobe nous appartient, nous sécuriserons, nous.

[RyzenOC]

je comprend pas comment un lecteur pdf peut (encore en 2017) avoir des failles....

d’exécuter du code arbitraire dans Acrobat Reader.

Je comprend pas comment (et comment une tels abomination est possible ) on peut exécuter du code dans un lecteur pdf ?

Un peu comme les failles sous windows liées à des trucs vraiment pourrie comme les polices d'écriture TrueType, pourquoi

[SkyZoThreaD]

je comprend pas comment un lecteur pdf peut (encore en 2017) avoir des failles....

C'est clair ! Comment un projet si simple et si ancien peut encore être bourré de failles après tant d'années et si peu d'implémentations de fonctionnalités.

Je comprend pas comment (et comment une tels abomination est possible ) on peut exécuter du code dans un lecteur pdf ?

Un peu comme les failles sous windows liées à des trucs vraiment pourrie comme les polices d'écriture TrueType, pourquoi

Et bien tant qu'il y a du code machine qui manipule de la donnée les failles sont possibles. Même une police a besoin de code pour être convertie en image. Cependant, il y a beaucoup d'applis plus récentes et plus critiques qui ne souffrent pas de tant de failles.
Bref, adobe a gagné le droit d'être banni d'internet grâce au html5 qui remplace de plus en plus le flash, et des desktop grâce aux nombreuses alternatives à reader qu'on peut trouver aujourd'hui. J'ose espérer que ça leur fera les pieds mais j'avoue que j'ai un doute.