Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Foxit Reader 2.x ;
- Foxit Reader 3.x.
Résumé
Plusieurs vulnérabilités présentes dans Foxit Reader permettent à un utilisateur malveillant de contourner la politique de sécurité ou d'exécuter du code arbitraire à distance.
Description
Deux vulnérabilités de type débordement de mémoire permettent à une personne malintentionnée d'exécuter du code arbitraire à distance au moyen d'un fichier au format PDF spécialement construit. L'une des deux vulnérabilités a fait l'objet de l'alerte CERTA-2009-ALE-001.
Une troisième vulnérabilité permet de contourner la politique de sécurité afin d'exécuter une action définie dans le fichier au format PDF sans confirmation de l'utilisateur.
Solution
Se référer au bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Foxit Reader : http://www.foxitsoftware.com/pdf/reader/security.html
- Référence CVE CVE-2009-0191 https://www.cve.org/CVERecord?id=CVE-2009-0191
- Référence CVE CVE-2009-0836 https://www.cve.org/CVERecord?id=CVE-2009-0836
- Référence CVE CVE-2009-0837 https://www.cve.org/CVERecord?id=CVE-2009-0837
