Fstoppers
Suite à la correction par Adobe d'une grande vulnérabilité 112 dans son correctif de gamme de produits de juillet, la société vient de publier son correctif de gamme de produits d'août qui corrige (seulement) 11 failles dans ses logiciels Flash Player et Acrobat DC et Reader. Bien que 11 correctifs ne semblent pas beaucoup, cette version comprend deux correctifs hautement critiques pour les logiciels Acrobat et Reader ainsi que d'autres mises à jour importantes qui devraient également être implémentées dès que possible.
Les failles les plus préoccupantes corrigées dans cette dernière mise à jour résident dans Adobe Acrobat et Reader pour Windows et MacOS. Les deux vulnérabilités ont été baptisées CVE-2018-12808 et CVE-2018-12799. Selon la sécurité d'Adobe consultatif , la première vulnérabilité provoque l'exécution de code arbitraire dans le contexte de l'utilisateur actuel en provoquant une faille d'écriture hors limites. Ce dernier provoque l'exécution de code arbitraire dans le contexte de l'utilisateur actuel via une vulnérabilité de déréférencement de pointeur non approuvée.
Ces deux vulnérabilités de sécurité critiques affectent les versions Acrobat DC et Acrobat Reader DC 2018.011.20055 et antérieures, les versions Acrobat 2017 et AR Classic 2017 2017.011.30096 et antérieures, et les versions Acrobat DC et AR DC Classic 2015 2015.006.30434 et antérieures. Les mises à jour des versions respectives des produits ont été publiées sur le site Web d'Adobe sous la forme du pack Adobe August Update.
En mettant de côté ces 2 vulnérabilités critiques, cela nous laisse avec 9 corrections de bogues restantes. Cinq de ces corrections de bogues concernent Adobe Flash Player et 4 sont d'autres mises à jour diverses. Les cinq correctifs d'Adobe Flash Player corrigent les vulnérabilités CVE-2018-12828, CVE-2018-12827, CVE-2018-12826, CVE-2018-12825 et CVE-2018-12824, qui présentent toutes un risque d'exécution de code à distance. à travers le défaut d’escalade de privilèges. Ces correctifs ont également reçu une note élevée (importante) malgré le fait qu'ils n'ont pas encore été exploités.
Les autres vulnérabilités corrigées dans le logiciel étaient CVE-2018-12806, CVE-2018-12807 et CVE-2018-5005. Ces vulnérabilités affectent les versions d'Adobe Experience Managers 6.0 à 6.4. Ces vulnérabilités ont été signalées pour contourner l'autorisation afin de permettre la fuite d'informations sensibles.
Le dernier correctif publié concernait la vulnérabilité de chargement de la bibliothèque dans l'application de bureau Creative Cloud. Cette vulnérabilité a été trouvée dans le programme d'installation et elle a reçu le label CVE-2018-5003. Il affecte les versions 4.5.0.324 et antérieures du logiciel pour Windows et permet une élévation et une exploitation des privilèges.
