Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Adobe Illustrator CS4 version 14.0.0 ;
- Adobe Illustrator CS3 versions 13.0.3 et antérieures.
Résumé
Une vulnérabilité affecte Adobe Illustrator CS3 et Adobe Illustrator CS4 lors du traitement des fichiers au format eps (Encapsulated Postscript). Elle permet l'exécution de code arbitraire à distance.
Description
Une vulnérabilité de type débordement de mémoire affecte le traitement des fichiers au format eps dans Adobe Illustrator CS3 et Adobe Illustrator CS4. Elle permet à une personne malveillante distante d'exécuter du code arbitraire en incitant un utilisateur à ouvrir un fichier au format eps spécialement conçu.
Du code permettant l'exploitation de cette vulnérabilité est disponible sur l'Internet.
Contournement provisoire
L'éditeur annonce un correctif pour le 8 janvier 2010.
En attendant le CERTA recommande :
- de n'ouvrir des fichiers au format eps qu'en provenance de sources qualifiées de sûres ;
- d'utiliser des logiciels alternatifs.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe Illustrator apsb10-01 du 07 janvier 2010 :
http://www.adobe.com/support/security/bulletins/apsb10-01.html
- Bulletin de sécurité Adobe apsa09-06 du 07 décembre 2009 :
http://www.adobe.com/support/security/advisories/apsa09-06.html
- Bulletin de sécurité du CERTA CERTA-2010-AVI-007 du 08 janvier 2010 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-007/index.html
- Référence CVE CVE-2009-4195 :
https://www.cve.org/CVERecord?id=CVE-2009-4195