Avis du CERTA : Vulnérabilité d’Acrobat et Adobe Reader
octobre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
Les systèmes affectés sont des plateformes Windows XP avec Internet Explorer 7
installé et utilisant :
* Adobe Reader, 8.1 et 7.0.9 et leurs versions antérieures ;
* Adobe Acrobat 3D, 8.1 et 7.0.9 et leurs versions antérieures ;
* Adobe Acrobat Professionnal, 8.1 et 7.0.9 et leurs versions antérieures.
3 Résumé
Une vulnérabilité dans le traitement des URI permet à un utilisateur
malveillant d’exécuter du code arbitraire à distance sur un ordinateur
vulnérable.
4 Description
Le défaut de traitement des URI, décrit dans l’alerte CERTA-2007-AVI-015,
permet à un utilisateur malveillant d’exécuter du code arbitraire à distance
sur un ordinateur vulnérable, au moyen d’un document au format PDF spécialement
conçu.
Des document PDF exploitant cette vulnérabilité circulent sur l’Internet.
5 Contournement provisoire
Pour les versions 7.0.9 des logiciels, à la date de la première version de cet
avis, l’éditeur n’a pas publié de correctif. Il propose un contournement
provisoire dans son bulletin (Cf. section Documentation).
6 Solution
La version 8.1.1 résoud le problème.
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
7 Documentation
* Bulletin de sécurité Adobe ASPB07-18 du 22 octobre 2007 :
http://www.adobe.com/support/security/bulletins/ASPB07-18.html
* Document du CERTA CERTA-2007-ALE-015 du 10 octobre 2007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-015/index.html
* Référence CVE CVE-2007-5020 :