Date de publication : 13 septembre 2011
Dernière mise à jour : 21 septembre 2011
Identifiant de vulnérabilité : APSB11-24
Références CVE : CVE-2011-1353, CVE-2011-2431, CVE-2011-2432, CVE-2011-2433, CVE-2011-2434, CVE-2011-2435, CVE-2011-2436, CVE-2011-2437, CVE-2011-2438, CVE-2011-2439, CVE-2011-2440, CVE-2011-2441, CVE-2011-2442
Plate-forme : toutes
Des vulnérabilités critiques ont été identifiées dans Adobe Reader X versions 10.1 et antérieures pour Windows et Macintosh, Adobe Reader versions 9.4.2 et antérieures pour UNIX et Adobe Acrobat X versions 10.1 et antérieures pour Windows et Macintosh. Elles sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné.
Adobe recommande aux utilisateurs d'Adobe Reader X versions 10.1 et antérieures pour Windows et Macintosh de passer à la version 10.1.1. Pour les utilisateurs d'Adobe Reader versions 9.4.5 et antérieures pour Windows et Macintosh qui ne peuvent pas effectuer la mise à niveau vers Adobe Reader X (10.1.1), des mises à niveau sont disponibles : Adobe Reader versions 9.4.6 et 8.3.1. Adobe recommande aux utilisateurs d'Adobe Reader X (10.1) pour Windows et Macintosh de passer à la version 10.1.1. Adobe recommande aux utilisateurs d'Adobe Acrobat versions 9.4.5 et antérieures pour Windows et Macintosh de passer à la version 9.4.6 et aux utilisateurs d'Adobe Acrobat versions 8.3 et antérieures pour Windows et Macintosh de passer à la version 8.3.1. Le lancement d'Adobe Reader 9.4.6 pour UNIX est actuellement prévu pour le 7 novembre 2011.
Les prochaines mises à niveau de sécurité trimestrielles pour Adobe Reader et Acrobat sont actuellement prévues pour le 13 décembre 2011.
Remarque : Le support technique d'Adobe Reader 8.x et Acrobat 8.x pour Windows et Macintosh ne sera plus assuré à compter du 3 novembre 2011. Pour en savoir plus, consultez la page consacrée à la fin du support d'Adobe Reader et Acrobat 8.
Adobe recommande aux utilisateurs d'effectuer la mise à niveau de leurs installations en procédant comme suit :
Adobe Reader
Les utilisateurs peuvent utiliser la fonction de mise à niveau automatique. Dans le cas d'une installation par défaut, des mises à niveau automatiques sont exécutées régulièrement ; il est possible de les activer manuellement en choisissant Aide > Rechercher les mises à jour.
Les mises à niveau destinées aux utilisateurs d'Adobe Reader pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Adobe Reader pour Macintosh sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.
Adobe Acrobat
Les utilisateurs peuvent utiliser la fonction de mise à niveau automatique. Dans le cas d'une installation par défaut, des mises à niveau automatiques sont exécutées régulièrement ; il est possible de les activer manuellement en choisissant Aide > Rechercher les mises à jour.
Les mises à niveau destinées aux utilisateurs d'Acrobat Standard et Pro pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Acrobat Pro Extended pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Acrobat 3D pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Acrobat Pro pour Macintosh sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
Le lancement d'Adobe Reader 9.4.6 pour UNIX est actuellement prévu pour le 7 novembre 2011.
Adobe classe ces mises à niveau comme critiques et recommande aux utilisateurs d'appliquer les dernières mises à niveau en date en suivant les instructions de la rubrique « Solution » ci-avant.
Des vulnérabilités critiques ont été identifiées dans Adobe Reader X versions 10.1 et antérieures pour Windows et Macintosh, Adobe Reader versions 9.4.2 et antérieures pour UNIX et Adobe Acrobat X versions 10.1 et antérieures pour Windows et Macintosh. Elles sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné.
Adobe recommande aux utilisateurs d'Adobe Reader X versions 10.1 et antérieures pour Windows et Macintosh de passer à la version 10.1.1. Adobe a mis Adobe Reader 9.4.6 et Adobe Reader 8.3.1 à la disposition des utilisateurs d'Adobe Reader versions 9.4.5 et antérieures pour Windows et Macintosh qui ne peuvent pas effectuer la mise à niveau vers Adobe Reader X (10.1.1). Adobe recommande aux utilisateurs d'Adobe Reader X (10.1) pour Windows et Macintosh de passer à la version 10.1.1 Adobe recommande aux utilisateurs d'Adobe Acrobat versions 9.4.5 et antérieures pour Windows et Macintosh de passer à la version 9.4.6, et aux utilisateurs d'Adobe Acrobat versions 8.3 et antérieures pour Windows et Macintosh de passer à la version 8.3.1. Le lancement d'Adobe Reader 9.4.6 pour UNIX est actuellement prévu pour le 7 novembre 2011.
Ces mises à niveau corrigent une vulnérabilité de type remontée d'autorisations en local (Adobe Reader X (10.x) sous Windows uniquement) (CVE-2011-1353).
Ces mises à niveau corrigent une vulnérabilité de type contournement de sécurité susceptible d'entraîner l'exécution de code (CVE-2011-2431).
Ces mises à niveau corrigent une vulnérabilité de type débordement de mémoire tampon au niveau de la ressource U3D TIFF susceptible d'entraîner l'exécution de code (CVE-2011-2432).
Ces mises à niveau corrigent une vulnérabilité de type débordement de tas susceptible d'entraîner l'exécution de code (CVE-2011-2433).
Ces mises à niveau corrigent une vulnérabilité de type débordement de tas susceptible d'entraîner l'exécution de code (CVE-2011-2434).
Ces mises à niveau corrigent une vulnérabilité de type débordement de mémoire tampon susceptible d'entraîner l'exécution de code (CVE-2011-2435).
Ces mises à niveau corrigent une vulnérabilité de type débordement de tas dans la bibliothèque Adobe d'analyse d'images susceptible d'entraîner l'exécution de code (CVE-2011-2436).
Ces mises à niveau corrigent une vulnérabilité de type débordement de tas susceptible d'entraîner l'exécution de code (CVE-2011-2437).
Ces mises à niveau corrigent une vulnérabilité de type débordement de pile dans la bibliothèque Adobe d'analyse d'images susceptible d'entraîner l'exécution de code (CVE-2011-2438).
Ces mises à niveau corrigent une vulnérabilité de type fuite de mémoire susceptible d'entraîner l'exécution de code (CVE-2011-2439).
Ces mises à niveau corrigent une vulnérabilité de type utilisation de zone désallouée susceptible d'entraîner l'exécution de code (CVE-2011-2440).
Ces mises à niveau corrigent deux vulnérabilités de type débordement de pile dans la bibliothèque CoolType.dll susceptibles d'entraîner l'exécution de code (CVE-2011-2441).
Ces mises à niveau corrigent une erreur logique susceptible d'entraîner l'exécution de code (CVE-2011-2442).
Les mises à niveau d'Adobe Flash Player sont également incluses, comme le spécifient les Bulletins de sécurité APSB11-21 et APSB11-26.
Les prochaines mises à niveau de sécurité trimestrielles pour Adobe Reader et Acrobat sont actuellement prévues pour le 13 décembre 2011.
Adobe tient à remercier les personnes et sociétés suivantes d'avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :
21 septembre 2011 - Supplément d'information concernant le bulletin de sécurité APSB11-26
19 septembre 2011 - Actualisation de la section Remerciements (CVE-2011-2438)
13 septembre 2011 - Publication du bulletin
