{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Adobe Acrobat Standard, Pro et Pro Extended, versions 9.x, 8.x et 7.x.","product":{"name":"Acrobat","vendor":{"name":"Adobe","scada":false}}},{"description":"Adobe Reader versions 9.x, 8.x et 7.x ;","product":{"name":"N/A","vendor":{"name":"Adobe","scada":false}}}],"affected_systems_content":null,"closed_at":"2009-03-20","content":"## Description\n\nUne erreur dans les produits Adobe relative \u00e0 l'interpr\u00e9tation des\nobjets encod\u00e9s au format JBIG2 dans des fichiers PDF permet \u00e0 un\nutilisateur de provoquer inopin\u00e9ment l'arr\u00eat du logiciel (crash).\n\nElle permet \u00e9galement l'ex\u00e9cution de code arbitraire sur le syst\u00e8me\nvuln\u00e9rable avec les droits de l'utilisateur.\n\nL'exploitation de la vuln\u00e9rabilit\u00e9 ne n\u00e9cessite pas n\u00e9cessairement\u00a0:\n\n-   l'intervention de l'utilisateur ;\n-   l'activation ou la d\u00e9sactivation du support Adobe JavaScript.\n\n  \n  \n\nCertains codes d'exploitation circulant actuellement sur l'Internet sont\nreconnus par des antivirus sous divers noms\u00a0: Trojan.Pidief.E,\nBloodhound.PDF-6 (Symantec), Exploit-PDF.i (NAI, Mac Afee)...\n\n  \n  \n\nL'application Adobe installe une extension permettant \u00e0 l'explorateur de\nfichiers de Microsoft Windows de r\u00e9aliser un aper\u00e7u des fichiers au\nformat PDF. De ce fait, la vuln\u00e9rabilit\u00e9 peut \u00e9galement \u00eatre exploit\u00e9e\npar les m\u00e9thodes suivantes :\n\n-   lors de la s\u00e9lection d'un fichier PDF exploitant cette vuln\u00e9rabilit\u00e9\n    ;\n-   lors de l'exploration d'un r\u00e9pertoire avec un affichage en mode\n    miniature des ic\u00f4nes.\n\nDe plus, il semblerait que cette vuln\u00e9rabilit\u00e9 puisse \u00eatre exploit\u00e9e\nlors de l'affichage de l'infobulle li\u00e9 \u00e0 un fichier PDF malveillant dont\nles m\u00e9ta-donn\u00e9es ont \u00e9t\u00e9 sp\u00e9cialement construites.\n\nEnfin, l'utilisation de services d'indexation automatique (comme WIS,\nWindows Indexing Services) pourrait d\u00e9clencher l'exploitation de la\nvuln\u00e9rabilit\u00e9 sur un fichier pr\u00e9sent sur l'espace de stockage sans\nintervention particuli\u00e8re de l'utilisateur.\n\n## Contournement provisoire\n\nL'\u00e9diteur Adobe annonce qu'un correctif pour la version 9.x sera\ndisponible le 11 mars 2009.\n\n<span class=\"textbf\">\\[11 mars 2009\\]</span> : L'\u00e9diteur a mis \u00e0\ndisposition un correctif de s\u00e9curit\u00e9 pour les versions 9 de Adobe Reader\net Acrobat. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Adobe apsb09-03 du 10\nmars 2009 pour l'obtention des correctifs (cf. section Documentation).\n\n<span class=\"textbf\">\\[20 mars 2009\\]</span> : L'\u00e9diteur a mis \u00e0\ndisposition un correctif de s\u00e9curit\u00e9 pour les versions 8 et 7 de Adobe\nReader et Acrobat. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Adobe apsb09-04 du\n18 mars 2009 pour l'obtention des correctifs (cf. section\nDocumentation).\n\nDans l'attente d'un correctif de l'\u00e9diteur, plusieurs mesures peuvent\ndiminuer les risques :\n\n-   utiliser un lecteur alternatif \u00e0 jour. Certains peuvent fermer\n    inopin\u00e9ment \u00e0 l'ouverture d'un document PDF malveillant mais\n    l'exploitation de la vuln\u00e9rabilit\u00e9 pour ex\u00e9cuter du code arbitraire\n    n'est pas, \u00e0 la date de r\u00e9daction de ce bulletin, av\u00e9r\u00e9e\u00a0;\n\n-   pour g\u00eaner certains codes d'exploitation, d\u00e9sactiver le Javascript\n    dans les lecteur PDF Adobe et ne l'activer qu'en cas de stricte\n    n\u00e9cessit\u00e9. Cette mesure s'effectue directement dans l'interface de\n    configuration de l'application ou en mettant \u00e0 0, pour les syst\u00e8mes\n    Windows uniquement, la valeur de la variable bEnableJS qui se\n    trouve\u00a0:\n\n        pour Adobe Reader dans :\n                HCU\\Software\\Adobe\\Acrobat Reader\\<version>.0\\JSPrefs\n        pour Adobe Acrobat dans :\n                HCU\\Software\\Adobe\\Adobe Acrobat\\<version>.0\\JSPrefs\n\n-   mettre les pi\u00e8ces jointes au format PDF en quarantaine dans\n    l'attente du correctif.\n\nPar ailleurs, de bonnes pratiques permettent d'att\u00e9nuer les impacts\u00a0:\n\n-   n'ouvrir que les documents au format PDF provenant d'une source de\n    confiance\u00a0;\n-   travailler avec un compte aux droits limit\u00e9s.\n\n  \n\nAfin de limiter l'impact d'un fichier PDF sp\u00e9cialement construit dans le\ncontexte de l'explorateur de fichiers de Microsoft Windows, le\ncontournement suivant peut \u00eatre appliqu\u00e9 :\n\n-   Apr\u00e8s l'avoir sauvegard\u00e9e, supprimer de la base de registre la cl\u00e9\n    :  \n    `HKEY_CLASSES_ROOT\\CLSID\\{F9DB5320-233E-11D1-9F84-707F02C10627}`\n\nExemple d'application avec un interpr\u00e9teur de commandes sous Microsoft\nWindows :\n\n    regsvr32 /u ``c:\\Program Files\\Fichiers communs\\Adobe\\Acrobat\\ActiveX\\PDFShell.dll''\n\nou encore :\n\n    reg export HKCR\\CLSID\\{F9DB5320-233E-11D1-9F84-707F02C10627} .\\export.reg\n    reg delete HKCR\\CLSID\\{F9DB5320-233E-11D1-9F84-707F02C10627}\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 Adobe APSB09-03 et APSB09-04\npubli\u00e9s le 10 et le 18 mars respectivement pour l'obtention des\ncorrectifs (cf. section Documentation). Le CERTA a \u00e9mis l'avis\nCERTA-2009-AVI-094 \u00e0 ce sujet.\n","cves":[{"name":"CVE-2009-0658","url":"https://www.cve.org/CVERecord?id=CVE-2009-0658"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 du CERTA CERTA-2009-AVI-094 du 11 mars    2009\u00a0:","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-094/"},{"title":"Bulletin de s\u00e9curit\u00e9 Adobe apsa09-01 du 19 f\u00e9vrier 2009 :","url":"http://www.adobe.com/support/security/advisories/apsa09-01.html"},{"title":"Bulletin d'actualit\u00e9 CERTA-2009-ACT-008, \u00ab Vuln\u00e9rabilit\u00e9    non corrig\u00e9e dans Adobe Reader \u00bb\u00a0:","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-008.pdf"},{"title":"Bulletin d'actualit\u00e9 CERTA-2009-ACT-010, \u00ab Retour sur la    vuln\u00e9rabilit\u00e9 PDF \u00bb\u00a0:","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-010.pdf"},{"title":"Bulletin de s\u00e9curit\u00e9 Adobe apsb09-03 du 10 mars 2009 :","url":"http://www.adobe.com/support/security/bulletins/apsb09-03.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Adobe apsb09-04 du 18 mars 2009\u00a0:","url":"http://www.adobe.com/support/security/bulletins/apsb09-04.html"},{"title":"Bulletin d'actualit\u00e9 CERTA-2009-ACT-009, \u00ab Retour sur    l'alerte CERTA-2009-ALE-001 concernant Adobe \u00bb\u00a0:","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-009.pdf"}],"reference":"CERTA-2009-ALE-001","revisions":[{"description":"version initiale.","revision_date":"2009-02-20T00:00:00.000000"},{"description":"ajout des cl\u00e9s de registre pour la d\u00e9sactivation de l'interpr\u00e9tation JS par GPO.","revision_date":"2009-02-23T00:00:00.000000"},{"description":"mise \u00e0 jour de la section \u00abDescription\u00bb et de la section \u00abContournement provisoire\u00bb.","revision_date":"2009-03-06T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins d'actualit\u00e9 du CERTA.","revision_date":"2009-03-10T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 d'Adobe et du CERTA.","revision_date":"2009-03-11T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences au dernier bulletin de s\u00e9curit\u00e9 d'Adobe APSB09-04.","revision_date":"2009-03-20T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans les produits Adobe permet \u00e0 un utilisateur\nmalveillant d'ex\u00e9cuter du code arbitraire \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9 dans l'interpr\u00e9tation JBIG2 des produits Adobe","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Adobe APSA09-01 du 19 f\u00e9vrier 2009","url":null}]}