Risques
- Attaques de type cross site scripting
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
- Adobe Acrobat Standard et Professional versions 7.0.8 et antérieures.
- Adobe Reader versions 7.0.8 et antérieures ;
Résumé
Plusieurs vulnérabilités présentes dans Adobe Reader et Adobe Acrobat permettent des attaques de type Cross Site Scripting, un déni de service ou l'exécution de code arbitraire à distance.
Description
De multiples vulnérabilités sont présentes dans les produits Adobe Reader et Adobe Acrobat :
- la première vulnérabilité permet à une personne malveillante de réaliser des attaques de type Cross Site Scripting en injectant du code JavaScript arbitraire par le biais d'adresses réticulaires (URL) spécialement conçues ;
- la seconde permet à une personne malintentionnée de réaliser un déni de service par le biais d'une adresse réticulaire (URL) spécialement formatée ;
- la troisième permet l'exécution de code arbitraire dans le contexte de l'utilisateur à l'aide d'un fichier PDF spécialement conçu.
Solution
Les versions 7.0.9 et 8 corrigent les problèmes. A ce jour, Adobe n'a
pas encore mis à disposition un correctif pour Adobe Reader et Adobe
Acrobat version 6.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe du 09 janvier 2007 http://www.adobe.com/support/security/bulletins/apsb07-01.html
- Bulletin de sécurité GLSA 200701-16 du 22 janvier 2007 de Gentoo : http://www.gentoo.org/security/en/glsa/glsa-200701-16.xml
- Bulletin de sécurité Red Hat RHSA-2007:0017-2 : http://rhn.redhat.com/errata/RHSA-2007-0017.html
- Bulletin de sécurité Red Hat RHSA-2007:0021-2 : http://rhn.redhat.com/errata/RHSA-2007-0021.html
- Bulletin de sécurité SuSE SUSE-SA:2007:011 : http://lists.suse.com/archive/suse-security-announce/2007-Jan/0012.html
- Bulletin de sécurité Sun Solaris n˚102847 du 14 mars 2007 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-102847-1
- Référence CVE CVE-2006-5857 https://www.cve.org/CVERecord?id=CVE-2006-5857
- Référence CVE CVE-2007-0045 https://www.cve.org/CVERecord?id=CVE-2007-0045
- Référence CVE CVE-2007-0046 https://www.cve.org/CVERecord?id=CVE-2007-0046
- Référence CVE CVE-2007-0048 https://www.cve.org/CVERecord?id=CVE-2007-0048