CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA10992
Plusieurs vulnérabilités dans Adobe Acrobat et Adobe Reader
Mis à jour: 07/05/2018
Date de la détection
?
04/06/2017
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Adobe Acrobat et Adobe Reader. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire et éventuellement provoquer un déni de service.

Voici une liste complète des vulnérabilités:

  1. Les vulnérabilités «Use-after-free» du module XFA (XML Forms Architecture) liées à la fonctionnalité de réinitialisation et à l'élément choiceList peuvent être exploitées à distance pour exécuter du code arbitraire.
  2. La vulnérabilité «use-after-free» survenant lors de la manipulation d'une structure de données interne peut être exploitée à distance pour exécuter du code arbitraire;
  3. La vulnérabilité Use-after-free dans le moteur XML Forms Architecture (XFA) peut être exploitée à distance pour exécuter du code arbitraire.
  4. La vulnérabilité Use-after-free dans l'API liée aux annotations du moteur JavaScript et dans l'API JavaScript associée à la fonctionnalité de collaboration peut être exploitée à distance pour exécuter du code arbitraire.
  5. Les vulnérabilités de dépassement de mémoire tampon dans la conversion d'image qui sont liées aux décalages d'analyse, à la représentation de ligne d'analyse interne et à la manipulation interne des tuiles dans les fichiers TIFF peuvent être exploitées à distance pour exécuter du code arbitraire;
  6. La vulnérabilité de débordement de mémoire tampon liée à l'analyse JPEG 2000 de la balise liste de fragments peut être exploitée à distance pour exécuter du code arbitraire;
  7. Les vulnérabilités de corruption de mémoire dans la fonctionnalité d'analyse JBIG2, dans la fonctionnalité de rendu, dans la fonctionnalité de mosaïque de flux de code JPEG 2000 peuvent être exploitées à distance pour exécuter du code arbitraire;
  8. La vulnérabilité de corruption de mémoire qui se produit lors de la gestion d'un fichier PDF mal formé peut être exploitée à distance pour exécuter du code arbitraire;
  9. La vulnérabilité de corruption de mémoire dans l'analyseur de format PRC (Product Representation Compact) peut être exploitée à distance pour exécuter du code arbitraire;
  10. La vulnérabilité de corruption de mémoire qui se produit lors de la manipulation des annotations PDF peut être exploitée à distance pour exécuter du code arbitraire;
  11. La vulnérabilité de corruption de mémoire liée à la manipulation de la représentation interne d'un objet peut être exploitée à distance pour exécuter du code arbitraire.
  12. Des vulnérabilités de corruption de mémoire dans le module de conversion d'images liées au traitement de fichiers TIFF, au traitement du format de fichier PCX (échange d'images), à l'analyse de fichiers GIF, à l'analyse de fichiers JPEG, à la manipulation de fichiers EMF peuvent être exploitées à distance.
  13. Failles de corruption de mémoire dans les modules: AES, compression d'image JBIG2 peut être exploitée à distance pour exécuter du code arbitraire;
  14. Les vulnérabilités de corruption de mémoire dans le moteur JavaScript et le gestionnaire de sécurité PPKLite peuvent être exploitées à distance pour exécuter du code arbitraire;
  15. Une vulnérabilité de corruption de mémoire qui se produit lors de l'analyse des données de flux TFF (format de police TrueType) peut être exploitée à distance pour exécuter du code arbitraire;
  16. La vulnérabilité de corruption de mémoire dans le plugin MakeAccessible qui se produit lors de l'analyse des données de police peut être exploitée à distance pour exécuter du code arbitraire;
  17. Une vulnérabilité de corruption de mémoire dans le moteur JPEG 2000 liée à la mise à l'échelle de l'image peut être exploitée à distance pour exécuter du code arbitraire;
  18. La vulnérabilité de corruption de mémoire dans le moteur JavaScript liée à la manipulation de chaînes peut être exploitée à distance pour exécuter du code arbitraire;
  19. La vulnérabilité de corruption de mémoire dans la fonctionnalité de manipulation de polices peut être exploitée à distance pour exécuter du code arbitraire;
  20. La vulnérabilité de dépassement d'entier dans le filtre PDF de fax CCITT et dans le moteur XFA (XML Forms Achitecture) peut être exploitée à distance pour exécuter du code arbitraire;
  21. Plusieurs vulnérabilités dans le module weblink, dans le moteur d'analyse JPEG 2000, dans le moteur XSLT, dans l'analyseur de flux de code JPEG 2000 peuvent être exploitées à distance pour provoquer des fuites de mémoire pouvant conduire à l'obtention d'informations sensibles ou à un déni de service;
  22. Une analyse incorrecte d'un fichier JPEG 2000, une gestion incorrecte des données de mosaïque de flux de code et de flux de code JPEG 2000 peuvent être exploitées à distance pour provoquer une fuite de mémoire pouvant conduire à l'obtention d'informations sensibles ou à un déni de service;
  23. Une vulnérabilité non spécifiée dans la fonctionnalité de collaboration peut être exploitée à distance pour provoquer une fuite de mémoire, ce qui peut conduire à l'obtention d'informations sensibles ou à un déni de service;
  24. Plusieurs vulnérabilités dans l'analyseur JPEG 2000, liées à la fonctionnalité de la palette et à l'analyse de flux de code contiguës, peuvent être exploitées à distance pour provoquer une fuite de mémoire pouvant conduire à l'obtention d'informations sensibles ou à un déni de service;
  25. Plusieurs vulnérabilités dans l'engin de conversion d'images liées à l'analyse syntaxique EMF (Enhanced Meta File Format) et au segment APP13 dans l'analyse de fichiers JPEG peuvent être exploitées à distance pour provoquer des fuites de mémoire pouvant conduire à l'obtention d'informations sensibles ou à un déni de service;
  26. Des vulnérabilités de chargement de bibliothèque non sécurisées (détournement de DLL) dans le plug-in OCR et dans une DLL liée à la journalisation à distance peuvent être exploitées à distance pour exécuter du code arbitraire.

NB: Cette vulnérabilité n'a pas d'évaluation CVSS publique, donc la notation peut être changée par le temps.

Produits concernés

Adobe Acrobat DC Continu avant 2017.009.20044
Adobe Acrobat Reader DC Continu avant 2017.009.20044
Adobe Acrobat DC Classic antérieur à 2015.006.30306
Adobe Acrobat Reader DC Classic antérieur à 2015.006.30306
Adobe Acrobat XI antérieur à 11.0.20
Adobe Reader XI plus tôt que 11h.20

Solution

Mettre à jour aux dernières versions
Télécharger Adobe Acrobat
Télécharger Adobe Acrobat Reader DC
Télécharger Adobe Reader XI

Fiches de renseignement originales

Adobe security bulletin

Impacts
?
ACE 
[?]

DoS 
[?]
Produits liés
Adobe Reader XI
Adobe Acrobat XI
Adobe Acrobat Reader DC Continuous
Adobe Acrobat Reader DC Classic
Adobe Acrobat DC Continuous
Adobe Acrobat DC Classic
CVE-IDS
?

CVE-2017-3057
CVE-2017-3056
CVE-2017-3055
CVE-2017-3054
CVE-2017-3052
CVE-2017-3051
CVE-2017-3050
CVE-2017-3049
CVE-2017-3048
CVE-2017-3046
CVE-2017-3045
CVE-2017-3044
CVE-2017-3043
CVE-2017-3042
CVE-2017-3040
CVE-2017-3039
CVE-2017-3038
CVE-2017-3037
CVE-2017-3036
CVE-2017-3034
CVE-2017-3033
CVE-2017-3032
CVE-2017-3031
CVE-2017-3030
CVE-2017-3028
CVE-2017-3027
CVE-2017-3026
CVE-2017-3025
CVE-2017-3024
CVE-2017-3022
CVE-2017-3021
CVE-2017-3020
CVE-2017-3019
CVE-2017-3018
CVE-2017-3015
CVE-2017-3014
CVE-2017-3013
CVE-2017-3012
CVE-2017-3011
CVE-2017-3065


Lien vers l'original