Les mises à jour Adobe, qui viennent de sortir, corrigent une longue liste de vulnérabilités, en matière de cybersécurité, qui ont été découvertes dans les versions Mac et Windows d’Acrobat et de Reader.
Au total, la première mise à jour d’octobre concerne 85 CVEs, dont 47 notées comme “critiques” et les 39 restantes comme “importantes”.
Il est trop tôt pour en savoir plus sur ces failles, mais celles qui ont été jugées “critiques” se divisent en 46 permettant l’exécution de code et une permettant l’élévation des privilèges. La majorité des autres failles jugées “importantes” impliquent des problèmes de lecture hors limites menant ainsi à la divulgation d’informations.
Selon Adobe, du moins à l’heure actuelle, aucune d’entre elles n’est activement exploitée.
Les mises à jour Adobe
Les mises à jour Adobe à télécharger dépend de la version que vous avez installée :
- Pour la plupart des utilisateurs Windows ou Mac, il s’agira soit d’Acrobat DC (la version payante) ou d’Acrobat Reader DC (gratuit). Recherchez donc la version 2019.008.20071.
- Pour tous les utilisateurs d’Acrobat 2017 ou d’Acrobat Reader DC 2017 classique, il s’agit de la version 2017.011.30105.
- Les versions plus classiques d’Acrobat DC (2015) ou d’Acrobat Reader DC (2015), il s’agira de la version 2015.006.30456.
Tous ceux qui possèdent encore l’ancien Acrobat XI ou Reader XI sur leur ordinateur, la dernière version était la 11.0.23 lorsque l’assistance a pris fin il y a un an.
Une preuve de succès ?
Il fut un temps où corriger autant de failles au sein d’un petit ensemble de produits d’une entreprise aurait été considéré comme un échec.
On peut dire que ces jours-ci, c’est un signe de succès : les chercheurs consacrent le temps nécessaire à la recherche de vulnérabilités avant que les cybercriminels ne les trouvent et de plus Adobe corrige les problèmes !
Ce qui est étonnant, c’est que malgré le fait qu’elles aient toutes été créditées (et la liste est plutôt bien fournie), l’entreprise ne semble pas disposer d’un programme officiel de récompense type bug bounty, hormis le programme d’applications web séparé et géré par une société tierce, HackerOne.
Si les 85 vulnérabilités d’Adobe vous paraissent excessives, ayez une pensée plutôt pour les utilisateurs des programmes rivaux Foxit PDF Reader et Foxit PhantomPDF. Foxit a publié la semaine dernière ce qui semble être ses 116 vulnérabilités (ce qui prête à confusion, et dont beaucoup n’ont pas encore été désignées par des CVEs).
Pour une raison inconnue, le nombre de failles détectées dans les programmes de Foxit a fortement augmenté cette année pour atteindre 183 avant le décompte de septembre, contre 76 pour l’ensemble en 2017.
Dans notre cas, il est peu probable que ces mises à jour Adobe soient les dernières que nous verrons circuler ce mois-ci ! Attendez-vous à ce que les failles habituelles soient corrigées dans le plug-in Flash hérité d’Adobe lorsque Microsoft sortira son Windows Patch Tuesday le mardi 9 octobre.
Billet inspiré de Update now: Adobe fixes 85 serious flaws in Acrobat and Reader, sur Sophos nakedsecurity.