Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Adobe Reader et Acrobat, versions 9.2 et antérieures, pour toutes les plateformes.
Résumé
Une vulnérabilité non détaillée affecte Adobe Reader et Adobe Acrobat. Elle permet l'exécution de code arbitraire à distance.
Description
Une vulnérabilité non détaillée affecte Adobe Reader et Adobe Acrobat. Elle permet l'exécution de code arbitraire à distance par le biais d'un débordement de mémoire.
Contournement provisoire
L'éditeur annonce un correctif pour le 12 janvier 2010.
En attendant le CERTA recommande :
- d'utiliser des logiciels alternatifs ;
- de désactiver l'interprétation du Javascript ;
- d'activer le DEP (Data Execution Protection) sur Windows Vista pour tous les exécutables système (l'activation de cette fonctionnalité peut avoir des effets indésirables sur certaines applications).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Abobe APSA09-07 du 15 décembre 2009 http://www.adobe.com/support/security/advisories/apsa09-07.html
- Bulletin de sécurité Abobe APSB10-02 du 12 janvier 2010 : http://www.adobe.com/support/security/bulletins/apsb10-02.html
- Bulletin de sécurité CERTA CERTA-2010-AVI-012 du 13 janvier 2010 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-012/
- Référence CVE CVE-2009-4324 https://www.cve.org/CVERecord?id=CVE-2009-4324
