Objet: Vulnérabilité d’Adobe Acrobat et d’Adobe Reader

Risque

• Déni de service ;
• exécution de code arbitraire à distance.

Systèmes affectés

• Acrobat Standard version 6.0.1 et versions antérieures ;
• Acrobat Professional version 6.0.1 et versions antérieures ;
• Adobe Reader version 6.0.1 et versions antérieures.

Résumé

Une vulnérabilité dans les produits Adobe Reader, Acrobat Standard et Acrobat Professional permet à un utilisateur mal intentionné de créer un déni de service ou d'exécuter du code arbitraire à distance.

Description

Adobe Reader, Acrobat Standard et Acrobat Professional sont des programmes de manipulation de fichiers au format pdf (Portable Document Format).
Une vulnérabilité dans une des fonctions d'analyse du nom de fichier permet à un utilisateur mal intentionné, via l'envoi d'un document au nom malicieusement choisi, d'exécuter du code arbitraire sur la machine vulnérable.

Solution

Mettre à jour Acrobat Standard, Acrobat Professional ou Adobe Reader en version 6.0.2.

• Pour Acrobat Standard ou Professional, le téléchargement de la mise à jour s'effectue à l'adresse Internet suivante :

  http://www.adobe.com/support/downloads/main.html
  

• Pour Adobe Reader, le téléchargement de la mise à jour s'effectue à l'adresse Internet suivante :

  http://www.adobe.com/products/acrobat/readstep2.html
  

Documentation

• Site Internet français d'Acrobat :

  http://www.adobe.fr/products/acrobat/main.html
  

• Site Internet français d'Adobe Reader :

  http://www.adobe.fr/products/acrobat/readermain.html
  

• Bulletin de sécurité iDEFENSE du 12 juillet 2004 :

  http://www.idefense.com/application/poi/display?id=116&type=vulnerabilities
  

• Liste des changements d'Acrobat 6.0.2 et d'Adobe Reader 6.0.2 :

  http://www.adobe.com/support/techdocs/34222.htm
  

• Référence CVE CAN-2004-0632 :

  https://www.cve.org/CVERecord?id=CAN-2004-0632