S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 juin 2005
N° CERTA-2005-AVI-220
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans des produits Adobe

Gestion du document

Référence CERTA-2005-AVI-220
Titre Vulnérabilité dans des produits Adobe
Date de la première version 15 juin 2005
Date de la dernière version 20 juin 2005
Source(s) Bulletin de sécurité 331710 d'Adobe du 14 juin 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Divulgation d'informations

Systèmes affectés

  • Adobe Acrobat 7.x pour les systèmes Mac et Windows.
  • Adobe Reader 7.x pour les systèmes Mac et Windows.

Résumé

Une vulnérabilité présente dans les applications Adobe Acrobat et Adobe Reader permet à un utilisateur mal intentionné de déterminer si un fichier donné est présent dans le système de la victime.

Description

La vulnérabilité provient d'une erreur dans le Adobe Reader control et permet de récupérer certaines informations sur le système de la victime via un script écrit en XML inséré dans du javascript.

Contournement provisoire

Dans l'attente de l'application du correctif (systèmes Windows) ou de la disponibilité de ce dernier (système Mac), il est possible de désactiver l'option javascript sur les produits Adobe concernés.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. documentation).

Documentation

Gestion détaillée du document

    le 15 juin 2005
    version initiale.
    le 20 juin 2005
    ajout de la référence au bulletin de sécurité FreeBSD.