Date : 25-03-2009

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Disponible et publique

Résumé : Plusieurs vulnérabilités critiques ont été découvertes dans les logiciels d’Adobe, pouvant mener à la compromission du poste de la victime par exécution de code arbitraire à distance.

Source : Adobe

Objet : Adobe Acrobat

Description :

Adobe a révélé la présence de multiples vulnérabilités critiques dans le
lecteur Adobe Reader ainsi que dans Adobe Acrobat.

Quatre vulnérabilités impactent la gestion des images au format JBIG2 et
sont provoquées par un défaut de validation d’entrée utilisateur.
Une autre faille concerne la méthode JavaScript "getIcon()", utilisée
dans un document PDF et dont l’un des paramètres peut être abusé par un
attaquant pour provoquer un dépassement de tampon.

Pour l’exploitation de ces vulnérabilités, il est nécessaire que la
victime ouvre un document PDF contenant le code malveillant, qu’il
visite une page contenant un document PDF embarqué ou simplement qu’il
ouvre un répertoire local contenant un document PDF malveillant et
s’affichant sous forme de vignette. Le code sera alors exécuté avec les
droits de la victime sur le système d’exploitation.

Note : ces vulnérabilités sont différentes ou complémentaires de celles
déjà révélées au mois de février 2009 et semblent déjà exploitées dans
la nature.

Références :

http://www.adobe.com/support/security/bulletins/apsb09-04.html

Codes CVE : CVE-2009-0658, CVE-2009-0927, CVE-2009-0193, CVE-2009-0928, CVE-2009-1061 et CVE-2009-1062