Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
- Adobe Reader et Acrobat 9.x à partir de la version 9.2 et 8.x à partir de la version 8.1.7, pour les systèmes Windows et Macintosh ;
- Adobe Reader et Acrobat 9.x à partir de la version 9.2 pour les systèmes UNIX.
Résumé
Deux vulnérabilités dans Adobe Reader et Acrobat permettent à un utilisateur malveillant d'exécuter du code arbitraire. Leur exploitation peut se faire à distance par l'intermédiaire des greffons dans les navigateurs.
Description
Deux vulnérabilités permettent à un utilisateur malveillant d'exécuter du code arbitraire :
- une corruption de la mémoire affecte uniquement les versions 9.x d'Adobe Reader et d'Acrobat ;
- une autre corruption de la mémoire n'affecte qu'Adobe Reader.
L'exploitation de ces vulnérabilités peut se faire à distance par l'intermédiaire des greffons dans les navigateurs.
Solution
La version 9.4.1 des deux logiciels remédie à ces problèmes.
Le correctif pour Acrobat sur Unix sera publié le 30 novembre 2010.
Le correctif pour la version 8 sera publié ultérieurement.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe apsb10-28 du 16 novembre 2010 http://www.adobe.com/support/security/bulletins/apsb10-28.html
- Document du CERTA CERTA-2010-ALE-020 du 17 novembre 2010 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-020/index.html
- Référence CVE CVE-2010-3654 https://www.cve.org/CVERecord?id=CVE-2010-3654
- Référence CVE CVE-2010-4091 https://www.cve.org/CVERecord?id=CVE-2010-4091
