Risques

  • Attaques de type cross site scripting
  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Adobe Acrobat Standard et Professional versions 7.0.8 et antérieures.
  • Adobe Reader versions 7.0.8 et antérieures ;

Résumé

Plusieurs vulnérabilités présentes dans Adobe Reader et Adobe Acrobat permettent des attaques de type Cross Site Scripting, un déni de service ou l'exécution de code arbitraire à distance.

Description

De multiples vulnérabilités sont présentes dans les produits Adobe Reader et Adobe Acrobat :

  • la première vulnérabilité permet à une personne malveillante de réaliser des attaques de type Cross Site Scripting en injectant du code JavaScript arbitraire par le biais d'adresses réticulaires (URL) spécialement conçues ;
  • la seconde permet à une personne malintentionnée de réaliser un déni de service par le biais d'une adresse réticulaire (URL) spécialement formatée ;
  • la troisième permet l'exécution de code arbitraire dans le contexte de l'utilisateur à l'aide d'un fichier PDF spécialement conçu.

Solution

Les versions 7.0.9 et 8 corrigent les problèmes. A ce jour, Adobe n'a pas encore mis à disposition un correctif pour Adobe Reader et Adobe Acrobat version 6.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation