Officiellement, Adobe corrige les vulnérabilités de sécurité vers le milieu de chaque mois afin de se coordonner avec Microsoft Patch Tuesday, mais récemment, il est devenu presque routinier, pour l’entreprise, de publier des mises à jour Adobe en parallèle, entre deux vagues de corrections.
APSB19-02, la première de ces mises à jour Adobe à être proposée aux utilisateurs en ce début d’année, corrige des problèmes critiques en attribuant un niveau de priorité “2”.
Cela signifie que la faille est potentiellement grave, mais Adobe n’a détecté aucune exploitation de celle-ci dans le monde réel (une telle situation impliquerait la publication d’un correctif “urgent” avec un niveau de priorité “1”).
La première faille, identifiée par le code CVE-2018-16011, est décrite par Adobe comme un bug de type use-after-free qui peut être exploité à l’aide d’un fichier PDF conçu de manière malveillante pour prendre le contrôle d’un système cible avec le malware de son choix.
La seconde, CVE-2018-16018 (qui remplace CVE-2018-19725), est un contournement de la sécurité ciblant les restrictions de l’API JavaScript sur Adobe Reader DC et qui semble être actif depuis avant Noël.
La correction des failles de sécurité
Affectant toutes les versions de Windows et de macOS Acrobat DC/Reader 2019.010.20064 et les versions antérieures, le correctif, dans les deux cas, vous fait migrer vers la version 2019.010.20069.
Pour les versions antérieures d’Acrobat/Reader 2017 2017.011.30110 et d’Acrobat/Reader DC 2015 2015.006.30461, les mises à jour Adobe vous font migrer, respectivement, vers les versions 2017.011.30113 et 2015.006.30464.
Comme toutes les failles de sécurité critiques de niveau “2”, un délai de 30 jours est proposé pour installer ces mises à jour Adobe, mais il faut garder à l’esprit qu’une nouvelle série de correctifs sera probablement publiée pour les produits Adobe demain dans le cadre de Patch Tuesday.
Dans le correctif de décembre, Adobe a publié 87 correctifs non négligeables, dont 39 étaient classés critiques !
Quelques jours plus tôt, Adobe avait publié un correctif Flash urgent pour une vulnérabilité de type “zero-day” qui était exploitée, alors qu’en novembre, Flash recevait un correctif distinct pour une autre vulnérabilité dont l’exploitation était considérée comme imminente !
Billet inspiré de Update now! Adobe Acrobat and Reader have critical flaws, sur Sophos nakedsecurity.