Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Adobe Acrobat versions 9.5.3 et antérieures pour Windows et Macintosh
- Adobe Acrobat X ( versions 10.1.5 et antérieures ) pour Windows et Macintosh
- Adobe Acrobat XI ( versions 11.0.01 et antérieures ) pour Windows et Macintosh
- Adobe Reader versions 9.5.3 et antérieures pour Windows et Macintosh
- Adobe Reader X ( versions 10.1.5 et antérieures ) pour Windows et Macintosh
- Adobe Reader XI ( versions 11.0.01 et antérieures ) pour Windows et Macintosh
Résumé
Des vulnérabilités affectent les produits Adobe Acrobat et Adobe Reader. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance au moyen d'un fichier PDF spécialement conçu. Elles sont activement exploitées.
Contournement provisoire
Dans le cas où Adobe Reader ou Acrobat ne sont pas nécessaires, il est recommandé de désactiver ces logiciels le temps qu'un correctif soit disponible. L'éditeur prévoie la diffusion d'un correctif de sécurité.
Adobe recommande d'activer le mode de protection Protected View pour rendre plus difficile l'exploitation de ces vulnérabilités.
En plus de la solution de l'éditeur, le CERTA préconise de désactiver JavaScript dans le lecteur PDF et d'utiliser la version « XI » d'Adobe Reader ou Acrobat.
Nous recommandons également de ne pas ouvrir de documents PDF qui ne sont pas de confiance :
- issu d'un site Web inconnu ;
- en pièce jointe d'un courriel dont l'expéditeur n'est pas connu.
Solution
Installer la dernière version stable de Adobe Reader et Acrobat :
- Adobe Reader XI version 11.0.02 pour la branche 11.x
- Adobe Reader X version 10.1.6 pour la branche 10.x
- Adobe Reader version 9.5.4 pour la branche 9.x
- Adobe Acrobat XI version 11.0.02 pour la branche 11.x
- Adobe Acrobat X version 10.1.6 pour la branche 10.x
- Adobe Acrobat version 9.5.4 pour la branche 9.x
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin d'alerte Adobe apsa13-02 du 13 février 2013 : http://www.adobe.com/support/security/advisories/apsa13-02.html
- Bulletin de sécurité Adobe apsb13-07 du 20 février 2013 : http://www.adobe.com/support/security/bulletins/apsb13-07.html
- Référence CVE CVE-2013-0640 https://www.cve.org/CVERecord?id=CVE-2013-0640
- Référence CVE CVE-2013-0641 https://www.cve.org/CVERecord?id=CVE-2013-0641