Une vague de bugs de sécurité critique dans Magento, Acrobat, Reader corrigés par Adobe
En tout, 23 failles ont été corrigées par Adobe, y compris 17 vulnérabilités critiques, dans plusieurs de ses logiciels. Adobe a donc corrigé plusieurs failles critiques à travers ses multiples logiciels à savoir Magento, Adobe Acrobat, Reader ou encore Photoshop. Le géant de la technologie a publié des avis de sécurité pour chaque produit dans la série de patchs standards de ce mois. Le premier avis concerne Adobe Acrobat et Reader 2020, Acrobat et Reader DC ainsi que les versions 2017 d’Acrobat et Reader sur les machines Windows et MacOS.
Les bugs de sécurité repérés chez Adobe comprennent des dépassements de tampon et d’entier, des contrôles d’accès inappropriés et des failles de type « use after free » qui peuvent être utilisés dans l’exécution arbitraire du code, dans l’élévation de privilèges, ou encore pour provoquer des pannes par déni de service et permettre des fuites d’informations.
La plateforme de commerce en ligne à code source ouvert appelé Magento a aussi reçu quelques correctifs de sécurité. Pour être plus précis, Magento Commerce et Magento Open Source ont été confrontés à 18 failles, de gravité variable entre niveau critique et niveau modéré. Les attaquants peuvent utiliser les failles les plus graves comme les IDOR (Insecure Direct Object Reference), les contournements de liste de téléchargement de fichiers, les contournements de la sécurité et du contrôle d’accès, et les injections SQL en aveugle pour exécuter du code, avoir accès aux ressources restreintes ou encore déployer du JavaScript dans un navigateur. En tout, cinq failles critiques ont été détectées dans Adobe Photoshop sur Windows et MacOS. Ces dernières ont été décrites comme étant des failles de lecture/écriture et de débordement de mémoire tampon hors limites pouvant être exploités pour exécuter du code malveillant. Deux failles critiques référencées CVE-2021-21053 et CVE-2021-21054 ont été corrigées dans les versions Windows et MacOS d’Adobe Illustrator. Leur exploitation aurait pu entrainer l’exécution de code arbitraire.
Une autre faille critique a été détectée dans Adobe Animate référencée CVE-2021-21052, pouvant être utilisée comme arme de déploiement de code arbitraire. Adobe a aussi publié un correctif unique pour Dreamweaver, un logiciel de conception de sites web développé par Adobe. Le bug CVE-2021-21055 contient un problème d’élément de chemin de recherche incontrôlé pouvant entrainer des fuites d’informations.