Objet: Vulnérabilités d’Adobe Acrobat

Risque

• Exécution de code arbitraire à distance ;
• déni de service.

Systèmes affectés

• Vulnérabilité CVE CAN-2004-0629 : Adobe Acrobat et Adobe Acrobat Reader versions antérieures à la 6.0.2 ;
• vulnérabilité CVE CAN-2004-0630 et CVE CAN 2004-0631 : Adobe Acrobat Reader versions 5.0.8 et antérieures pour les plates-formes Unix.

Résumé

Plusieurs vulnérabilités des applications Adobe Acrobat et Adobe Acrobat Reader permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service sur une machine vulnérable.

Description

• Vulnérabilité CVE CAN-2004-0629 : une vulnérabilité de type débordement de mémoire a été découverte dans le composant ActiveX. Elle permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.
• Vulnérabilité CVE CAN-2004-0630 et CAN-2004-0631 : deux vulnérabilités dans le décodage des chaînes "uuencodées" sur les plates-formes Unix permettent à un utilisateur d'exécuter du code arbitraire par le biais d'un document au format PDF malicieusement construit.

Contournement provisoire

• Vulnérabilité CVE CAN-2004-0629 : ne pas ouvrir les documents au format PDF avec un navigateur.
• Vulnérabilité CVE CAN-2004-0630 et CAN-2004-0631 :
  • n'ouvrir que les documents PDF provenant d'une source de confiance ;
  • ne pas ouvrir les documents PDF sur une plate-forme Unix.

Solution

• La version 5.0.9 corrige les vulnérabilités CVE CAN-2004-0630 et CAN-2004-0631 ;
• la version 6.0.2 corrige la vulnérabilité CVE CAN-2004-0629.

Adobe Acrobat Reader est téléchargeable à l'adresse suivante :

http://www.adobe.com/products/acrobat/alternate.html

Documentation

• Site Internet du produit Adobe Acrobat :

  http://www.adobe.com/products/acrobat/main.html
  

• Bulletin de sécurité iDefense du 12 août 2004 (CVE CAN-2004-0630) :

  http://www.idefense.com/application/poi/display?id=124
  

• Bulletin de sécurité iDefense du 12 août 2004 (CVE CAN-2004-0631) :

  http://www.idefense.com/application/poi/display?id=125
  

• Bulletin de sécurité iDefense du 13 août 2004 (CVE CAN-2004-0629) :

  http://www.idefense.com/application/poi/display?id=126
  

• Bulletin de sécurité Gentoo GLSA-200408-14 du 15 août 2004 :

  http://www.gentoo.org/security/en/glsa/glsa-200408-14.xml
  

• Bulletin de sécurité RedHat RHSA-2004:432 du 26 août 2004 :

  http://rhn.redhat.com/errata/RHSA-2004-432.html
  

• Bulletin de sécurité FreeBSD pour acroread du 12 août 2004 :

  http://www.vuxml.org/freebsd/
  

• Mise à jour de sécurité du paquetage NetBSD acroread5 :

  ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/print/acroread5/README.html
  

• Référence CVE CAN-2004-0629 :

  https://www.cve.org/CVERecord?id=CAN-2004-0629
  

• Référence CVE CAN-2004-0630 :

  https://www.cve.org/CVERecord?id=CAN-2004-0630
  

• Référence CVE CAN-2004-0631 :

  https://www.cve.org/CVERecord?id=CAN-2004-0631