S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 novembre 2010
N° CERTA-2010-AVI-551
Affaire suivie par: CERT-FR
le 17 novembre 2010

Avis du CERT-FR

Objet: Vulnérabilités dans Adobe Reader et Acrobat

Gestion du document

Référence CERTA-2010-AVI-551
Titre Vulnérabilités dans Adobe Reader et Acrobat
Date de la première version 17 novembre 2010
Date de la dernière version 17 novembre 2010
Source(s) Bulletin de sécurité Adobe apsb10-28 du 16 novembre 2010
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • déni de service.

Systèmes affectés

  • Adobe Reader et Acrobat 9.x à partir de la version 9.2 et 8.x à partir de la version 8.1.7, pour les systèmes Windows et Macintosh ;
  • Adobe Reader et Acrobat 9.x à partir de la version 9.2 pour les systèmes UNIX.

Résumé

Deux vulnérabilités dans Adobe Reader et Acrobat permettent à un utilisateur malveillant d'exécuter du code arbitraire. Leur exploitation peut se faire à distance par l'intermédiaire des greffons dans les navigateurs.

Description

Deux vulnérabilités permettent à un utilisateur malveillant d'exécuter du code arbitraire :

  • une corruption de la mémoire affecte uniquement les versions 9.x d'Adobe Reader et d'Acrobat ;
  • une autre corruption de la mémoire n'affecte qu'Adobe Reader.

L'exploitation de ces vulnérabilités peut se faire à distance par l'intermédiaire des greffons dans les navigateurs.

Solution

La version 9.4.1 des deux logiciels remédie à ces problèmes.

Le correctif pour Acrobat sur Unix sera publié le 30 novembre 2010.

Le correctif pour la version 8 sera publié ultérieurement.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 17 novembre 2010
    version initiale.