Multiples vulnérabilités dans Adobe Acrobat

Risques

Attaques de type cross site scripting
Déni de service
Exécution de code arbitraire à distance

Systèmes affectés

Adobe Acrobat Standard et Professional versions 7.0.8 et antérieures.
Adobe Reader versions 7.0.8 et antérieures ;

Résumé

Plusieurs vulnérabilités présentes dans Adobe Reader et Adobe Acrobat permettent des attaques de type Cross Site Scripting, un déni de service ou l'exécution de code arbitraire à distance.

Description

De multiples vulnérabilités sont présentes dans les produits Adobe Reader et Adobe Acrobat :

la première vulnérabilité permet à une personne malveillante de réaliser des attaques de type Cross Site Scripting en injectant du code JavaScript arbitraire par le biais d'adresses réticulaires (URL) spécialement conçues ;
la seconde permet à une personne malintentionnée de réaliser un déni de service par le biais d'une adresse réticulaire (URL) spécialement formatée ;
la troisième permet l'exécution de code arbitraire dans le contexte de l'utilisateur à l'aide d'un fichier PDF spécialement conçu.

Solution

Les versions 7.0.9 et 8 corrigent les problèmes. A ce jour, Adobe n'a pas encore mis à disposition un correctif pour Adobe Reader et Adobe Acrobat version 6.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Adobe du 09 janvier 2007

http://www.adobe.com/support/security/bulletins/apsb07-01.html

Bulletin de sécurité GLSA 200701-16 du 22 janvier 2007 de Gentoo :

http://www.gentoo.org/security/en/glsa/glsa-200701-16.xml

Bulletin de sécurité Red Hat RHSA-2007:0017-2 :

http://rhn.redhat.com/errata/RHSA-2007-0017.html

Bulletin de sécurité Red Hat RHSA-2007:0021-2 :

http://rhn.redhat.com/errata/RHSA-2007-0021.html

Bulletin de sécurité SuSE SUSE-SA:2007:011 :

http://lists.suse.com/archive/suse-security-announce/2007-Jan/0012.html

Bulletin de sécurité Sun Solaris n˚102847 du 14 mars 2007 :

http://sunsolve.sun.com/search/document.do?assetkey=1-26-102847-1

Référence CVE CVE-2006-5857

https://www.cve.org/CVERecord?id=CVE-2006-5857

Référence CVE CVE-2007-0045

https://www.cve.org/CVERecord?id=CVE-2007-0045

Référence CVE CVE-2007-0046

https://www.cve.org/CVERecord?id=CVE-2007-0046

Référence CVE CVE-2007-0048

https://www.cve.org/CVERecord?id=CVE-2007-0048

Référence	CERTA-2007-AVI-024
Titre	Multiples vulnérabilités dans Adobe Acrobat
Date de la première version	10 janvier 2007
Date de la dernière version	15 mars 2007
Source(s)	Bulletin de sécurité Adobe du 09 janvier 2007
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Adobe Acrobat