Adobe a publié Mises à jour du Patch Tuesday pour le mois de mai avec des correctifs pour plusieurs vulnérabilités couvrant 12 produits différents, y compris une faille zero-day affectant Adobe Reader qui est activement exploitée dans la nature.

La liste des applications mises à jour comprend Adobe Experience Manager, Adobe InDesign, Adobe Illustrator, Adobe InCopy, Service authentique d’Adobe, Adobe Acrobat et Reader, Magento, Adobe Bureau Creative Cloud Application, Adobe Encodeur multimédia, Adobe Effets secondaires, Adobe Medium et Adobe Animate.

Dans un bulletin de sécurité, l’entreprise reconnu il a reçu des rapports selon lesquels la faille « a été exploitée dans la nature dans le cadre d’attaques limitées ciblant les utilisateurs d’Adobe Reader sous Windows ». Suivi comme CVE-2021-28550, la faille zero-day concerne une faille d’exécution de code arbitraire qui pourrait permettre à des adversaires d’exécuter pratiquement n’importe quelle commande sur les systèmes cibles.

Alors que les attaques ciblées visaient les utilisateurs Windows d’Adobe Reader, le problème affecte les versions Windows et macOS d’Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 et Acrobat Reader 2017. Un chercheur anonyme a été crédité avec le signalement de la vulnérabilité.

10 vulnérabilités critiques et quatre vulnérabilités importantes ont été corrigées dans Adobe Acrobat et Reader, suivies de la correction de cinq failles critiques (CVE-2021-21101-CVE-2021-21105) dans Adobe Illustrator qui pourraient conduire à l’exécution de code arbitraire dans le contexte de l’actuel utilisateur. Adobe a crédité Kushal Arvind Shah de FortiGuard Labs de Fortinet pour avoir signalé trois des cinq vulnérabilités.

Au total, 43 faiblesses de sécurité ont été résolues dans la mise à jour de mardi. Il est conseillé aux utilisateurs de mettre à jour leurs installations logicielles avec les dernières versions pour atténuer le risque associé aux failles.