Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Adobe Illustrator CS3 versions 13.0.3 et antérieures.
- Adobe Illustrator CS4 version 14.0.0 ;
Résumé
Une vulnérabilité affecte Adobe Illustrator CS3 et Adobe Illustrator CS4 lors du traitement des fichiers au format eps (Encapsulated Postscript). Elle permet l'exécution de code arbitraire à distance.
Description
Une vulnérabilité de type débordement de mémoire affecte le traitement des fichiers au format eps dans Adobe Illustrator CS3 et Adobe Illustrator CS4. Elle permet à une personne malveillante distante d'exécuter du code arbitraire en incitant un utilisateur à ouvrir un fichier au format eps spécialement conçu.
Du code permettant l'exploitation de cette vulnérabilité est disponible sur l'Internet.
Contournement provisoire
L'éditeur annonce un correctif pour le 8 janvier 2010.
En attendant le CERTA recommande :
- de n'ouvrir des fichiers au format eps qu'en provenance de sources qualifiées de sûres ;
- d'utiliser des logiciels alternatifs.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe Illustrator apsb10-01 du 07 janvier 2010 : http://www.adobe.com/support/security/bulletins/apsb10-01.html
- Bulletin de sécurité Adobe apsa09-06 du 07 décembre 2009 : http://www.adobe.com/support/security/advisories/apsa09-06.html
- Bulletin de sécurité du CERTA CERTA-2010-AVI-007 du 08 janvier 2010 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-007/index.html
- Référence CVE CVE-2009-4195 https://www.cve.org/CVERecord?id=CVE-2009-4195