- Attendez-vous le déploiement de votre mise à jour mensuelle Patch Tuesday ?
- Adobe vient de terminer la publication d'un nouvel ensemble de correctifs aujourd'hui.
- Tous les liens de téléchargement dont vous avez besoin se trouvent ici, dans cet article.
Il ne fait aucun doute que beaucoup d'entre vous attendent le lot mensuel de mises à jour de sécurité du Patch Tuesday et nous sommes là pour vous permettre de trouver un peu plus facilement ce que vous cherchez.
Il va sans dire que Microsoft n'est pas la seule entreprise à avoir un tel déploiement sur une base mensuelle. Donc, dans cet article, nous allons parler d'Adobe et de certains des correctifs de leurs produits.
Comme nous sommes presque sûrs que vous le savez maintenant, nous inclurons également des liens vers la source de téléchargement, vous n'avez donc pas à parcourir Internet pour les trouver.
Adobe publie un lot de correctifs pour 46 CVE
Mai 2022 a été un mois assez léger pour Adobe, avec cinq mises à jour traitant de 18 CVE dans Adobe CloudFusion, InCopy, Framemaker, InDesign et Adobe Character Animator.
De toutes les mises à jour du déploiement du mois dernier, la plus importante est le correctif pour Cadreur, avec 10 CVE au total, dont neuf sont des bogues critiques pouvant entraîner l'exécution de code.
Cependant, pour juin 2022, ce mois-ci, la société a publié six correctifs traitant de 46 CVE dans Adobe Illustrator, InDesign, InCopy, Bridge, Robohelp et Animate.
De loin la plus grande mise à jour appartient à Illustrateur, qui traite 17 CVE au total, le plus grave de ces bogues permettant l'exécution de code si un système affecté ouvre un fichier spécialement conçu.
| Catégorie de vulnérabilité | Impact sur la vulnérabilité | Gravité | Score de base CVSS | Vecteur CVSS | Numéros CVE |
|---|---|---|---|---|---|
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30637 |
| Validation d'entrée incorrecte (CWE-20) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30638 |
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30639 |
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30640 |
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30641 |
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30642 |
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30643 |
| Utiliser après gratuit (CWE-416) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30644 |
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30645 |
| Validation d'entrée incorrecte (CWE-20) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30646 |
| Utiliser après gratuit (CWE-416) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30647 |
| Utiliser après gratuit (CWE-416) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30648 |
| Écriture hors limites (CWE-787) | Exécution de code arbitraire | Critique | 7.8 | CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-30649 |
| Lecture hors limites (CWE-125) | Fuite de mémoire | Important | 5.5 | CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: N/A: N | CVE-2022-30666 |
| Lecture hors limites (CWE-125) | Fuite de mémoire | Important | 5.5 | CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: N/A: N | CVE-2022-30667 |
| Lecture hors limites (CWE-125) | Fuite de mémoire | Important | 5.5 | CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: N/A: N | CVE-2022-30668 |
| Lecture hors limites (CWE-125) | Fuite de mémoire | Modéré | 3.3 | CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: L/I: N/A: N | CVE-2022-30669 |
Vous devez également savoir que la grande majorité de ces bogues entrent dans la catégorie Écriture hors limites (OOB).
Si vous êtes un utilisateur de Bridge, vous devez absolument reconnaître le fait que la mise à jour pour Pont d'Adobe corrige 12 bogues, dont 11 sont classés critiques.
Ensuite, nous arrivons à parler de la En copie mise à jour, une qui apporte des corrections de huit bogues critiques, qui pourraient tous conduire à l'exécution de code arbitraire.
Passons à la InDesign app, le correctif corrige sept bogues d'exécution de code arbitraire classés critiques, juste au cas où vous vous poseriez la question.
Cela étant dit, pour InDesign et InCopy, les bogues sont un mélange de vulnérabilités OOB Read, OOB Write, heap overflow et Use-After-Free (UAF).
Il n'y a qu'un seul bogue corrigé par le Animer patch, et il s'agit également d'une écriture OOB critique qui pourrait conduire à l'exécution de code arbitraire.
Nous n'avons pas oublié Robohelp, où Adobe a publié un correctif qui corrige un bogue d'escalade de privilèges modéré causé par une autorisation incorrecte.
C'est ce que vous envisagez en termes de versions du Patch Tuesday pour Adobe pour le mois de juillet 2022, alors dépêchez-vous et procurez-vous le logiciel.
Que pensez-vous de la sortie de ce mois-ci? Partagez vos pensées avec nous dans la section des commentaires ci-dessous.
