Des failles critiques d'Adobe Flash Player et de Framemaker pourraient permettre l'exécution de code arbitraire.

Adobe a publié des correctifs pour quatre failles critiques dans Flash Player et dans son processeur de documents Framemaker dans le cadre de ses mises à jour régulières. Les bogues, s'ils étaient exploités, pourraient permettre l'exécution de code arbitraire.

Dans les mises à jour de sécurité d'Adobe de mardi, des failles critiques liées à trois CVE ont été corrigées dans Adobe Framemaker, qui est l'application d'Adobe conçue pour écrire et modifier des documents volumineux ou complexes.

Les failles incluent deux failles d'écriture hors limites critiques (CVE-2020-9634, CVE-2020-9635), qui découlent d'opérations d'écriture qui produisent ensuite des résultats indéfinis ou inattendus. Francis Provencher travaillant avec Zero Day Initiative (ZDI) de Trend Micro a été reconnu pour avoir trouvé ces failles d'exécution de code arbitraires.

Dustin Childs, responsable des communications chez ZDI de Trend Micro, a déclaré qu'un attaquant peut exploiter les deux failles pour exécuter du code dans le contexte du processus actuel. Ils devraient inciter un utilisateur à ouvrir un fichier spécialement conçu ou à visiter une page malveillante, a-t-il déclaré.

"Pour CVE-2020-9634, la faille spécifique existe dans l'analyse des fichiers GIF", a déclaré Childs. «Le problème résulte du manque de validation appropriée des données fournies par l'utilisateur, ce qui peut entraîner une écriture après la fin d'un objet alloué. Pour CVE-2020-9635, la faille spécifique existe dans l'analyse des fichiers PDF. Le problème résulte du manque de validation appropriée des données fournies par l'utilisateur, ce qui peut entraîner une écriture avant le début d'un objet alloué. »

Adobe a également corrigé un bogue critique (CVE-2020-9636) résultant d'une corruption de la mémoire, où une tentative d'accès à la mémoire est effectuée après sa libération. Cela peut entraîner un éventail d'impacts malveillants, allant de la panne d'un programme, à potentiellement conduire à l'exécution de code arbitraire - ou même activer des capacités complètes d'exécution de code à distance. Honggang Ren de FortiGuard Labs de Fortinet a signalé la faille.

Les versions d'Adobe Framemaker 2019.0.5 et inférieures pour Windows sont affectées; les correctifs sont disponibles dans la version 2019.0.6.

Flash Player 

Un défaut critique d'utilisation après libération (CVE-2020-9633) a quant à lui été découvert dans Flash Player. Sont concernés Adobe Flash Player Desktop Runtime (Windows, macOS et Linux), Adobe Flash Player pour Google Chrome (Windows, macOS, Linux et Chrome OS) et pour Microsoft Edge / Internet Explorer 11 (Windows 10 et 8.1), tous pour les versions 32.0 .0.330 et versions antérieures.

Les utilisateurs concernés sont invités à effectuer une mise à jour vers la version 32.0.0.387 dans une mise à jour de «priorité 2», qui, selon Adobe, «résout les vulnérabilités d'un produit qui était historiquement à haut risque», mais pour lequel il n'y a actuellement aucun exploit connu.

"Une exploitation réussie pourrait conduire à l'exécution de code arbitraire dans le contexte de l'utilisateur actuel", a déclaré Adobe dans sa mise à jour.

Flash est connu pour être la cible préférée des cyberattaques, en particulier pour les kits d'exploitation, les attaques zero-day et les schémas de phishing. Il convient de noter qu'Adobe a annoncé en juillet 2017 son intention de mettre Flash dans un état de fin de vie, ce qui signifie qu'il ne mettra plus à jour ni ne distribuera Flash Player à la fin de cette année.

Autres failles

Adobe a également corrigé des failles liées à six failles de gravité importante dans Experience Manager, sa plateforme de gestion de contenu pour la création de sites Web, d'applications mobiles et de formulaires. Les versions 6.5 et antérieures sont affectées.

Ceux-ci incluent des problèmes de falsification de requêtes côté serveur (CVE-2020-9643 et CVE-2020-9645) qui pourraient permettre la divulgation d'informations sensibles et des vulnérabilités de script intersite (CVE-2020-9647, CVE-2020-9648, CVE-2020 -9651 et CVE-2020-9644) qui pourraient permettre l'exécution arbitraire de JavaScript dans le navigateur.

Pour tous les défauts de sa mise à jour de juin, Adobe a déclaré qu'il n'était au courant d'aucun exploit dans la nature. Les mises à jour régulièrement prévues surviennent un mois après que Adobe a corrigé 16 failles critiques dans ses applications Acrobat et Reader et son kit de développement logiciel Adobe Digital Negative (DNG) en mai. S'ils sont exploités, ces défauts pourraient conduire à l'exécution de code à distance.

En mai, Adobe a également publié un correctif hors bande pour une faille critique dans Adobe Character Animator, son application pour créer des vidéos d'animation de capture de mouvement en direct. La faille peut être exploitée par un attaquant distant pour exécuter du code sur les systèmes affectés.


Source : Threatpost