S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 juillet 2000
N° CERTA-2000-AVI-020
Affaire suivie par: CERT-FR
le 27 juillet 2000

Avis du CERT-FR

Objet: Vulnérabilité sous Adobe Acrobat

Gestion du document

Référence CERTA-2000-AVI-020
Titre Vulnérabilité sous Adobe Acrobat
Date de la première version 27 juillet 2000
Date de la dernière version 27 juillet 2000
Source(s) Adobe
Security Focus
Bugtraq
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • Exécution de code arbitraire.

Systèmes affectés

  • Adobe Acrobat 4.05 pour Windows ;
  • Adobe Acrobat Reader 4.05 pour Windows ;
  • Adobe Acrobat Business Tools 4.05 ;
  • Acrobat Fill In ;
  • Plugin Acrobat pour navigateur Web (Netscape, Internet Explorer).

Résumé

Tous les produits Acrobat sous Windows sont vulnérables lors de la lecture d'un fichier PDF malformé. Au mieux l'application s'arrête, au pire du code arbitraire est exécuté sur la machine.

Description

Le format PDF est un format de lecture de document très répandu. Les logiciels de la famille Acrobat permettent de manipuler les documents PDF. Acrobat est vulnérable à un débordement de pile. Dès lors un utilisateur malveillant peut construire un document PDF qui, lors de sa visualisation, stoppe l'application ou exécute du code.

Solution

Correctif pour Acrobat 4.05, Acrobat Reader 4.05, Acrobat Businnes Tools 4.05 et Acrobat Fill In :

ftp://ftp.adobe.com/pub/adobe/win/4.x/ac405up2.exe


En cas de consultation d'un site internet proposant un fichier PDF, enregistrer le fichier concerné afin de l'ouvrir avec la version corrigée d'Acrobat.

Documentation

Site Adobe

http://www.adobe.com/misc/pdfsecurity.html

Gestion détaillée du document

    le 27 juillet 2000
    version initiale.