Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Adobe Reader et Adobe Acrobat, versions 9.3.3 et antérieures, pour toutes les plateformes.
Résumé
Mise à jour : l'éditeur a publié un correctif le 19 août 2010.
Une vulnérabilité affecte Adobe Reader et Adobe Acrobat. Elle permet l'exécution de code arbitraire à distance.
Description
Une vulnérabilité dans le module de traitement des polices de caractères d'Adobe Reader et d'Adobe Acrobat permet l'exécution de code arbitraire à distance.
Contournement provisoire
L'éditeur annonce un correctif pour le 19 août 2010.
En attendant, le CERTA recommande d'utiliser des logiciels alternatifs à jour.
Pour mémoire, plusieurs bonnes pratiques peuvent aider à protéger les utilisateurs :
- s'assurer que les greffons de navigateur permettant d'ouvrir les fichiers PDF n'utilisent pas les logiciels faisant l'objet de cette alerte ;
- désactiver l'interprétation du JavaScript ;
- utiliser un compte avec des droits limités ;
- de convertir les fichiers suspects au format Postscript puis de nouveau au format PDF sur une machine sas ;
- de n'ouvrir que des fichiers provenant de sources vérifiées et sûres.
Ces mesures ne sont pas des garanties de protection contre cette vulnérabilité mais peuvent en limiter les impacts.
Solution
La version 9.3.4 d'Adobe Reader et Acrobat, ainsi que la version 8.2.4 d'Adobe Reader remédient à cette vulnérabilité.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe APSB10-17 du 19 août 2010 :
http://www.adobe.com/support/security/bulletins/apsb10-17.html
- Avis CERTA-2010-AVI-394 du 20 août 2010 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-394/
- Référence CVE CVE-2010-2862 :
https://www.cve.org/CVERecord?id=CVE-2010-2862
