Date de publication : 16 novembre 2010
Identifiant de vulnérabilité : APSB10-28
Références CVE : CVE-2010-3654, CVE-2010-4091
Plate-forme : toutes plates-formes
Des vulnérabilités critiques ont été identifiées dans Adobe Reader versions 9.4 et antérieures pour Windows, Macintosh et UNIX ainsi que dans Adobe Acrobat 9.4 (et les versions 9.x antérieures) pour Windows et Macintosh. Elles sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné.
Non seulement ces mises à niveau corrigent les vulnérabilités référencées sous les numéros CVE-2010-3654 dans l'Avis de sécurité APSA10-05 et CVE-2010-4091 dans le blogue d'Adobe PSIRT ("Potential issue in Adobe Reader") mais elle incluent la mise à niveau d'Adobe Flash Player mentionnée dans le Bulletin de sécurité APSB10-26.
Adobe recommande aux utilisateurs d'Adobe Reader versions 9.4 et antérieures pour Windows et Macintosh de passer à la version 9.4.1, d'ores et déjà disponible, et aux utilisateurs d'Adobe Reader versions 9.4 et antérieures pour Unix de passer à la version 9.4.1, qui devrait être disponible le 30 novembre 2010. Adobe recommande en outre aux utilisateurs d'Adobe Acrobat versions 9.4 et 9.x antérieures pour Windows et Macintosh de passer à la version 9.4.1.
Notez qu'il s'agit de mises à niveau "hors cycle". Les prochaines mises à niveau de sécurité trimestrielles pour Adobe Reader et Acrobat sont prévues pour le 8 février 2011.
Adobe recommande aux utilisateurs d'effectuer la mise à niveau de leurs installations en procédant comme suit :
Les utilisateurs sous Windows et sur Macintosh peuvent utiliser la fonction de mise à niveau automatique. Dans le cas d'une installation par défaut, des mises à niveau automatiques sont exécutées régulièrement ; il est possible de les activer manuellement en choisissant Aide > Rechercher les mises à jour.
Les mises à niveau destinées aux utilisateurs d'Adobe Reader pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Les mises à niveau destinées aux utilisateurs d'Adobe Reader pour Macintosh sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Une mise à niveau d'Adobe Reader pour UNIX devrait être disponible le 30 novembre 2010.
Les utilisateurs peuvent utiliser la fonction de mise à niveau automatique. Dans le cas d'une installation par défaut, des mises à niveau automatiques sont exécutées régulièrement ; il est possible de les activer manuellement en choisissant Aide > Rechercher les mises à jour.
Les mises à niveau destinées aux utilisateurs d'Acrobat Standard et Pro pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Les mises à niveau destinées aux utilisateurs d'Acrobat Pro Extended pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows
Les mises à niveau destinées aux utilisateurs d'Acrobat 3D pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows
Les mises à niveau destinées aux utilisateurs d'Acrobat Pro pour Macintosh sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe classe ces mises à niveau dans la catégorie des mises à niveau critiques et recommande aux utilisateurs d'appliquer les plus récentes correspondant à leurs installations logicielles.
Des vulnérabilités critiques ont été identifiées dans Adobe Reader versions 9.4 et antérieures pour Windows, Macintosh et UNIX ainsi que dans Adobe Acrobat 9.4 (et les versions 9.x antérieures) pour Windows et Macintosh. Elles sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné.
Non seulement ces mises à niveau corrigent les vulnérabilités référencées sous les numéros CVE-2010-3654 dans l'Avis de sécurité APSA10-05 et CVE-2010-4091 dans le blogue d'Adobe PSIRT ("Potential issue in Adobe Reader") mais elle incluent la mise à niveau d'Adobe Flash Player mentionnée dans le Bulletin de sécurité APSB10-26.
Adobe recommande aux utilisateurs d'Adobe Reader versions 9.4 et antérieures pour Windows et Macintosh de passer à la version 9.4.1, d'ores et déjà disponible, et aux utilisateurs d'Adobe Reader versions 9.4 et antérieures pour Unix de passer à la version 9.4.1, qui devrait être disponible le 30 novembre 2010. Adobe recommande en outre aux utilisateurs d'Adobe Acrobat versions 9.4 et 9.x antérieures pour Windows et Macintosh de passer à la version 9.4.1.
Adobe Reader pour Android n'est pas concerné par ces problèmes.
Ces mises à niveau corrigent une vulnérabilité de type corruption de mémoire susceptible d'entraîner l'exécution de code (CVE-2010-3654).
*Remarque : Adobe Reader version 8.x et Adobe Acrobat version 8.x ne sont pas concernés par ce problème.
Ces mises à niveau corrigent une vulnérabilité de type corruption de mémoire susceptible d'entraîner l'exécution de code (Adobe Reader uniquement) (CVE-2010-4091).
*Remarque : ce problème ne concerne aucune version d'Adobe Acrobat et devrait être corrigé dans la prochaine version d'Adobe Reader.
La mise à niveau d'Adobe Flash Player est également incluse tel que spécifié dans le Bulletin de sécurité APSB10-26.
