Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Adobe Illustrator CS3 versions 13.0.3 et antérieures.
  • Adobe Illustrator CS4 version 14.0.0 ;

Résumé

Une vulnérabilité affecte Adobe Illustrator CS3 et Adobe Illustrator CS4 lors du traitement des fichiers au format eps (Encapsulated Postscript). Elle permet l'exécution de code arbitraire à distance.

Description

Une vulnérabilité de type débordement de mémoire affecte le traitement des fichiers au format eps dans Adobe Illustrator CS3 et Adobe Illustrator CS4. Elle permet à une personne malveillante distante d'exécuter du code arbitraire en incitant un utilisateur à ouvrir un fichier au format eps spécialement conçu.

Du code permettant l'exploitation de cette vulnérabilité est disponible sur l'Internet.

Contournement provisoire

L'éditeur annonce un correctif pour le 8 janvier 2010.

En attendant le CERTA recommande :

  • de n'ouvrir des fichiers au format eps qu'en provenance de sources qualifiées de sûres ;
  • d'utiliser des logiciels alternatifs.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation