CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA10935
Plusieurs vulnérabilités dans Adobe Acrobat et Adobe Reader
Mis à jour: 07/05/2018
Date de la détection
?
01/05/2017
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Adobe Acrobat et Adobe Reader. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire ou contourner les restrictions de sécurité.

Voici une liste complète des vulnérabilités:

  1. Une vulnérabilité de type confusion dans le moteur XSLT liée à la fonctionnalité de localisation peut être exploitée à distance pour exécuter du code arbitraire;
  2. Les vulnérabilités «Use-after-free» dans le moteur XFA, qui sont liées à la fonctionnalité de mise en page, à la fonctionnalité de sous-formulaire et à la fonctionnalité de validation, peuvent être exploitées à distance pour exécuter du code arbitraire;
  3. Les vulnérabilités «Use-after-free» dans le moteur JavaScript peuvent être exploitées à distance pour exécuter du code arbitraire;
  4. Les vulnérabilités de débordement de mémoire tampon lors du traitement et de l'analyse des données d'image TIFF peuvent être exploitées à distance pour exécuter du code arbitraire;
  5. Une vulnérabilité de débordement de mémoire tampon lors de l'analyse du segment pour le stockage d'informations non graphiques peut être exploitée à distance pour exécuter du code arbitraire;
  6. La vulnérabilité de dépassement de mémoire tampon dans le moteur XSLT peut être exploitée à distance pour exécuter du code arbitraire.
  7. Les vulnérabilités de dépassement de mémoire tampon dans le moteur de conversion d'image, qui sont liées à l'analyse des métadonnées de profil de couleur et à l'analyse de segments TIFF malformés, peuvent être exploitées à distance pour exécuter du code arbitraire;
  8. Les vulnérabilités de débordement / de dépassement de mémoire tampon dans le moteur XFA et le module de conversion d'image associé aux balises d'analyse dans les fichiers TIFF peuvent être exploités à distance pour exécuter du code arbitraire;
  9. Les failles de corruption de la mémoire dans le traitement d'une table de références croisées mal formée, les fichiers JPEG 2000, les données de format compact, les balises dans les images TIFF peuvent être exploitées à distance pour exécuter du code arbitraire;
  10. Les failles de corruption de mémoire dans l'analyse de l'image TIFF, le module de conversion d'image lors du traitement de fichiers image TIFF ou la manipulation de fichiers malformés peuvent être exploitées à distance pour exécuter du code arbitraire;
  11. Des vulnérabilités de corruption de mémoire dans le moteur de conversion d'images liées à l'analyse des métadonnées EXIF ​​(JPEG EXIF), à l'analyse de fichiers TIFF et à la gestion du profil couleur dans un fichier TIFF peuvent être exploitées à distance pour exécuter du code arbitraire;
  12. La vulnérabilité de corruption de mémoire dans le moteur XFA liée à la structure et à l'organisation d'un formulaire peut être exploitée à distance pour exécuter du code arbitraire;
  13. Une vulnérabilité survenant lors de la manipulation du Form FDS (Form Data Format) peut être exploitée à distance pour contourner les restrictions de sécurité;
  14. Les vulnérabilités de débordement de mémoire tampon dans la routine de décodeur JPEG et dans le moteur XSLT liées à la manipulation de modèle peuvent être exploitées à distance pour exécuter du code arbitraire;
  15. La vulnérabilité de corruption de mémoire dans le module de conversion d'image liée à l'analyse JPEG peut être exploitée à distance pour exécuter du code arbitraire.

NB: Toutes les vulnérabilités n'ont pas toutes une cote CVSS, de sorte que la notation CVSS cumulative peut ne pas être représentative.

NB: Adobe vient de réserver des numéros CVE pour certaines de ces vulnérabilités. L'information peut être changée bientôt.

Produits concernés

Adobe Reader XI 11.0.18 et versions antérieures
Adobe Acrobat XI 11.0.18 et versions antérieures
Adobe Acrobat DC Classic 15.006.30244 et versions antérieures
Adobe Acrobat DC Continuous 15.020.20042 et versions antérieures
Adobe Acrobat Reader DC Classic 15.006.30244 et versions antérieures
Adobe Acrobat Reader DC Continu 15.020.20042 et versions antérieures

Solution

Mettre à jour à la dernière version
Obtenez Adobe Acrobat DC
Obtenez Adobe Acrobat Reader DC
Obtenez Adobe Reader XI

Fiches de renseignement originales

APSB17-01

Impacts
?
ACE 
[?]

SB 
[?]
Produits liés
Adobe Reader XI
Adobe Acrobat XI
Adobe Acrobat Reader DC Continuous
Adobe Acrobat Reader DC Classic
Adobe Acrobat DC Continuous
Adobe Acrobat DC Classic
CVE-IDS
?

CVE-2017-2970
CVE-2017-2971
CVE-2017-2972
CVE-2017-2948
CVE-2017-2947
CVE-2017-2946
CVE-2017-2945
CVE-2017-2944
CVE-2017-2943
CVE-2017-2942
CVE-2017-2941
CVE-2017-2940
CVE-2017-2939
CVE-2017-2949
CVE-2017-2950
CVE-2017-2951
CVE-2017-2952
CVE-2017-2953
CVE-2017-2954
CVE-2017-2955
CVE-2017-2956
CVE-2017-2957
CVE-2017-2958
CVE-2017-2959
CVE-2017-2960
CVE-2017-2961
CVE-2017-2962
CVE-2017-2963
CVE-2017-2964
CVE-2017-2965
CVE-2017-2966
CVE-2017-2967


Lien vers l'original