Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Adobe Reader et Acrobat, versions 7.1.3 et antérieures, pour toutes les plateformes.
- Adobe Reader et Acrobat, versions 8.1.6 et antérieures, pour toutes les plateformes ;
- Adobe Reader et Acrobat, versions 9.1.3 et antérieures, pour toutes les plateformes ;
Résumé
Une vulnérabilité non détaillée affecte Adobe Reader et Adobe Acrobat. Elle permet l'exécution de code arbitraire à distance.
Description
Une vulnérabilité non détaillée affecte Adobe Reader et Adobe Acrobat. Elle permet l'exécution de code arbitraire à distance. L'exploitation de cette vulnérabilité ne nécessite pas que le support du Javascript soit activé bien que cela en facilite son utilisation.
Du code permettant l'exploitation de cette vulnérabilité est disponible sur l'Internet.
Contournement provisoire
L'editeur annonce un correctif pour le 13 octobre 2009.
En attendant le CERTA recommande :
- d'utiliser des logiciels alternatifs ;
- de laisser inactif l'interprétation des Javascript ;
- d'activer le DEP (Data Execution Protection) sur windows Vista pour tous les exécutables du système (l'activation de cette fonctionnalité peut avoir des effets indésirables sur certaines applications) ;
- de convertir les fichiers suspects au format ps puis de nouveau au format PDF sur une machine sas ;
- de n'ouvrir que des fichiers provenant de sources qualifiées de sûres.
Solution
Se référer au bulletin Adobe APSB09-15 du 13 octobre 2009 pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité du CERTA CERTA-2009-AVI-445 du 14 octobre 2009 : http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-445/index.html
- Bulletin de sécurité Adobe APSB09-15 du 08 octobre 2009, mis à jour le 13 octobre 2009 : http://www.adobe.com/support/security/bulletins/apsb09-15.html
- Référence CVE CVE-2009-3459 https://www.cve.org/CVERecord?id=CVE-2009-3459
