Adobe a informé mardi ses clients qu’il avait corrigé plus d’une douzaine de vulnérabilités dans ses produits Acrobat, y compris des failles critiques pouvant être exploitées pour l’exécution de code arbitraire.

La société affirme avoir corrigé un total de 14 failles de sécurité dans les versions Windows et macOS d’Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 et Acrobat Reader 2017.

Trois des défauts ont été jugés de gravité critique. Ils sont causés par un dépassement de mémoire tampon basé sur l’utilisation après la libération et par des bogues d’écriture hors limites, et ils peuvent être exploités pour l’exécution de code arbitraire dans le contexte de l’utilisateur ciblé.

Six des vulnérabilités sont importantes. Ils ont été décrits comme un contrôle d’accès incorrect, une validation d’entrée incorrecte, un contournement de vérification de signature, un contournement de fonction de sécurité et une condition de concurrence. Ils peuvent être exploités pour l’escalade de privilèges locaux, la divulgation d’informations, l’injection de DLL et l’exécution de code JavaScript.

Les failles de gravité modérée peuvent conduire à la divulgation d’informations.

Le géant du logiciel a remercié des chercheurs indépendants et des représentants de Tencent, Computest, Danish Cyber ​​Defense, Cisco Talos, Qihoo 360, Star Lab et Ruhr University Bochum pour avoir signalé ces vulnérabilités.

Adobe affirme ne pas avoir connaissance d’attaques exploitant ces vulnérabilités et, étant donné qu’elles ont reçu une cote de priorité de 2, la société ne s’attend pas à ce qu’elles soient exploitées.

Connexes: Adobe publie des mises à jour de sécurité pour 10 produits

Connexes: Adobe corrige les failles critiques d’exécution de code dans AEM, FrameMaker, InDesign

Connexes: Adobe corrige une vulnérabilité critique d’exécution de code dans Flash Player

Connexes: Adobe Patches 11 vulnérabilités critiques dans Acrobat et Reader

Eduard Kovacs (@EduardKovacs) est un éditeur contributeur à SecurityWeek. Il a travaillé comme professeur d’informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme …