S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 juillet 2000
N° CERTA-2000-AVI-020
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité sous Adobe Acrobat

Gestion du document

Référence CERTA-2000-AVI-020
Titre Vulnérabilité sous Adobe Acrobat
Date de la première version27 juillet 2000
Date de la dernière version27 juillet 2000
Source(s) Adobe
Bugtraq
Security Focus
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

  • Acrobat Fill In ;
  • Adobe Acrobat 4.05 pour Windows ;
  • Adobe Acrobat Business Tools 4.05 ;
  • Adobe Acrobat Reader 4.05 pour Windows ;
  • Plugin Acrobat pour navigateur Web (Netscape, Internet Explorer).

Résumé

Tous les produits Acrobat sous Windows sont vulnérables lors de la lecture d'un fichier PDF malformé. Au mieux l'application s'arrête, au pire du code arbitraire est exécuté sur la machine.

Description

Le format PDF est un format de lecture de document très répandu. Les logiciels de la famille Acrobat permettent de manipuler les documents PDF. Acrobat est vulnérable à un débordement de pile. Dès lors un utilisateur malveillant peut construire un document PDF qui, lors de sa visualisation, stoppe l'application ou exécute du code.

Solution

Correctif pour Acrobat 4.05, Acrobat Reader 4.05, Acrobat Businnes Tools 4.05 et Acrobat Fill In :

ftp://ftp.adobe.com/pub/adobe/win/4.x/ac405up2.exe

En cas de consultation d'un site internet proposant un fichier PDF, enregistrer le fichier concerné afin de l'ouvrir avec la version corrigée d'Acrobat.

Documentation

Gestion détaillée du document

    le 27 juillet 2000
    version initiale.