Adobe corrige une vague de failles de sécurité critiques dans Magento, Acrobat, Reader
Adobe a corrigé de nombreuses vulnérabilités critiques dans une série de logiciels, notamment Magento, Acrobat, Reader et Photoshop.
Ce mardi, le géant de la technologie a publié des avis de sécurité pour chaque produit inclus dans la série de patchs standard de ce mois-ci.
Le premier avis concerne Adobe Acrobat et Reader 2020, Acrobat et Reader DC, et les versions 2017 d’Acrobat et Reader sur les machines Windows et MacOS.
23 vulnérabilités critiques ou importantes
Adobe a résolu 23 vulnérabilités dans ces logiciels, dont 17 sont jugées critiques et les autres importantes. Les problèmes de sécurité signalés à Adobe comprennent des dépassements de tampon et d’entier, des contrôles d’accès inappropriés et des failles de type “use after free” pouvant être utilisés pour exécuter arbitrairement du code, permettre une élévation des privilèges, provoquer des pannes par déni de service et ou encore permettre des fuites d’informations.
Magento, une plateforme de commerce électronique à code source ouvert, a également reçu une série de correctifs de sécurité. Plus précisément, Magento Commerce et Magento Open Source, sur toutes les plateformes, sont sujets à un total de 18 bugs, dont la gravité varie de critique à modérée.
Les pires vulnérabilités – notamment les IDOR (Insecure Direct Object Reference), les contournements de liste de téléchargement de fichiers, les contournements de la sécurité et du contrôle d’accès, et les injections SQL en aveugle – peuvent être utilisées par des attaquants pour exécuter du code, déployer du JavaScript dans un navigateur et accéder à des ressources restreintes.
Cinq vulnérabilités critiques sur Photoshop
Au total, cinq vulnérabilités critiques ont été signalées dans Adobe Photoshop sur Windows et MacOS. Elles sont décrites comme des problèmes de lecture/écriture et de débordement de mémoire tampon hors limites pouvant être exploités pour l’exécution de code malveillant.
Deux vulnérabilités critiques, CVE-2021-21053 et CVE-2021-21054, ont été corrigées dans les versions Windows et MacOS d’Adobe Illustrator. Si elles sont exploitées, les bugs d’écriture hors limites peuvent déclencher l’exécution de code arbitraire.
Adobe Animate a également fait l’objet d’une faille d’écriture critique hors limites, CVE-2021-21052, qui pourrait également être utilisée comme arme pour déployer un code arbitraire. Un correctif unique a aussi été publié pour Dreamweaver, un logiciel de conception de sites web développé par Adobe. CVE-2021-21055 contient un problème d’élément de chemin de recherche incontrôlé pouvant entraîner des fuites d’informations.
Des problèmes de sécurité signalés par des chercheurs indépendants
Adobe a remercié un certain nombre de chercheurs indépendants : Decathlon, l’initiative Trend Micro Zero Day, FortiGuard Labs et les participants au concours international de cybersécurité de la Tianfu Cup 2020 pour avoir signalé les problèmes de sécurité.
En janvier, la première mise à jour de sécurité programmée d’Adobe a permis de résoudre des bugs dans sept produits, dont Photoshop, Illustrator, Bridge et Campaign Classic. Parmi les correctifs apportés, certains concernaient des débordements de mémoire tampon et des failles d’écriture hors limite.
Source : ZDNet.com
