Adobe a corrigé un total de 36 vulnérabilités dans ses produits Acrobat et Reader et le kit de développement logiciel (SDK) DNG.

Dans Acrobat et Reader, la société a corrigé 24 vulnérabilités, notamment des erreurs critiques de tampon après utilisation, des erreurs d’écriture en dehors des limites et des débordements de tas qui pouvaient conduire à l’exécution de code arbitraire. D’autres vulnérabilités jugées critiques peuvent permettre aux pirates de contourner les fonctionnalités de sécurité, a déclaré le vendeur dans son avis.

Les failles de sécurité jugées importantes peuvent entraîner une condition de déni de service (DoS) ou une divulgation d’informations. Plusieurs chercheurs ont été crédités par Adobe pour avoir signalé les vulnérabilités d’Acrobat et de Reader.

Deux des défauts ont été découverts par un chercheur de Cisco Talos, qui a publié mardi un article de blog détaillant les problèmes. Les deux vulnérabilités peuvent être exploitées pour l’exécution de code à distance en convaincant l’utilisateur ciblé d’ouvrir un fichier PDF spécialement conçu avec une version vulnérable de Reader.

Dans le SDK DNG pour Windows et macOS, Adobe a corrigé une douzaine de vulnérabilités, dont quatre bogues critiques de dépassement de capacité pouvant être exploités pour l’exécution de code, et huit importants problèmes de lecture hors limites pouvant conduire à la divulgation d’informations.

« Les débordements pourraient conduire à l’exécution de code, donc si vous utilisez le format DNG pour votre photographie numérique, assurez-vous certainement que vous êtes corrigé », a noté Zero Day Initiative de Trend Micro dans un article de blog.

Toutes les vulnérabilités du SDK DNG ont été signalées à Adobe par Mateusz Jurczyk de Google Project Zero.

Adobe dit qu’aucun des …

Voir la source de cette publication