Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Adobe Acrobat 8 pour Windows et Macintosh, versions 8.x jusqu'à 8.2.6 inclue.
- Adobe Acrobat 9 pour Windows et Macintosh, versions 9.x jusqu'à 9.4.4 inclue ;
- Adobe Acrobat X pour Windows et Macintosh, versions 10.x jusqu'à 10.0.3 inclue ;
- Adobe Reader 8 pour Windows et Macintosh, versions 8.x jusqu'à 8.2.6 inclue ;
- Adobe Reader 9 pour Windows et Macintosh, versions 9.x jusqu'à 9.4.4 inclue ;
- Adobe Reader X pour Macintosh, versions 10.x jusqu'à 10.0.3 inclue ;
- Adobe Reader X pour Windows, versions 10.x jusqu'à 10.0.1 inclue ;
Résumé
De multiples vulnérabilités ont été corrigées dans les produits Adobe Acrobat et Reader. Une large partie d'entre elles permettent à un attaquant de provoquer l'arrêt inopiné de l'application, et pourraient mener à l'exécution de code arbitraire à distance.
Description
La mise à jour corrige 13 vulnérabilités dans les produits Adobe Acrobat et Reader:
- quatre d'entre elles permettraient à un attaquant de réaliser l'exécution de code à distance par le biais de dépassement de mémoire tampon (CVE-2011-2094, CVE-2011-2095, CVE-2011-2097) et d'un débordement de tas (CVE-2011-2096) ;
- deux permettraient l'exécution de code arbitraire à distance par corruption de la mémoire (CVE-2011-2098, CVE-2011-2099), une troisième n'affecte que les versions 8.x (CVE-2011-2103) et une quatrième n'affecte que les versions Macintosh des deux produits (CVE-2011-2106) ;
- une erreur dans le chargement de DLL permet l'exécution de code arbitraire à distance (CVE-2011-2100) ;
- certaines entrées ne sont pas suffisamment validées et permettent l'exécution de code par rebond (CVE-2011-2101) ;
- une vulnérabilité non spécifiée n'affectant que les versions 10.x permet le contournement de certaines restrictions (CVE-2011-2102) ;
- deux corruptions de mémoire entrainant une fermeture inopinée ont enfin été corrigées (CVE-2011-2104 et CVE-2011-2105).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Adobe apsb11-16 du 15 juin 2011 http://www.adobe.com/support/security/bulletins/apsb11-16.html
- Référence CVE CVE-2011-2094 https://www.cve.org/CVERecord?id=CVE-2011-2094
- Référence CVE CVE-2011-2095 https://www.cve.org/CVERecord?id=CVE-2011-2095
- Référence CVE CVE-2011-2096 https://www.cve.org/CVERecord?id=CVE-2011-2096
- Référence CVE CVE-2011-2097 https://www.cve.org/CVERecord?id=CVE-2011-2097
- Référence CVE CVE-2011-2098 https://www.cve.org/CVERecord?id=CVE-2011-2098
- Référence CVE CVE-2011-2099 https://www.cve.org/CVERecord?id=CVE-2011-2099
- Référence CVE CVE-2011-2100 https://www.cve.org/CVERecord?id=CVE-2011-2100
- Référence CVE CVE-2011-2101 https://www.cve.org/CVERecord?id=CVE-2011-2101
- Référence CVE CVE-2011-2102 https://www.cve.org/CVERecord?id=CVE-2011-2102
- Référence CVE CVE-2011-2103 https://www.cve.org/CVERecord?id=CVE-2011-2103
- Référence CVE CVE-2011-2104 https://www.cve.org/CVERecord?id=CVE-2011-2104
- Référence CVE CVE-2011-2105 https://www.cve.org/CVERecord?id=CVE-2011-2105
- Référence CVE CVE-2011-2106 https://www.cve.org/CVERecord?id=CVE-2011-2106
