le CERT-Renater et le CERTA signalent une faille importante dans les
produits Adobe Reader et Adobe Acrobat affectant TOUS LES SYSTEMES
(Microsoft Windows, GNU/Linux, UNIX et MacOS X) . Merci de suivre les
recommandations (point numéro 5)
=====================================================================
BULLETIN D'ALERTE DU CERTA
Objet : Multiples vulnérabilités dans Adobe Reader et Adobe Acrobat
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
* Adobe Acrobat et Adobe Reader versions 7.1.1 et antérieures ;
* Adobe Acrobat et Adobe Reader versions 8.1.4 et antérieures ;
* Adobe Acrobat et Adobe Reader versions 9.1 et antérieures.
3 Résumé
Deux vulnérabilités présentes dans Adobe Reader et Adobe Acrobat
permettent à un utilisateur distant d'exécuter du code arbitraire.
4 Description
Deux vulnérabilités sont présentes dans Adobe Reader et Adobe Acrobat.
Elles sont relatives à certaines fonctions mises en œuvre dans le
contexte du moteur de rendu JavaScript de Adobe Reader et Adobe Acrobat.
Ces failles permettent toutes les deux à un utilisateur malintentionné
distant d'exécuter du code arbitraire par le biais d'un pointeur vers un
fichier PDF construit de façon particulière.
Ces vulnérabilités s'appuyant uniquement sur des fonctions Javascript,
elles ne sont donc pas dépendantes d'une plateforme particulière et
fonctionnent à la fois sous Microsoft Windows, GNU/Linux, UNIX et MacOS X.
Des codes exploitant ces vulnérabilités sont disponibles sur l'Internet.
5 Contournement provisoire
Dans l'attente d'un correctif approprié, il est recommandé de désactiver
le support du JavaScript dans Adobe Reader et Adobe Acrobat en décochant
l'option Activer Acrobat Javascript dans Edition -> Preferences ->
Javascript ;
6 Documentation
Bloc-notes PSIRT d'Adobe :
http://blogs.adobe.com/psirt/2009/04/update_on_adobe_reader_issue.html