Risque

  • Attaques de type Cross Site Scripting ;
  • déni de service ;
  • exécution de code arbitraire à distance.

Systèmes affectés

  • Adobe Reader versions 7.0.8 et antérieures ;
  • Adobe Acrobat Standard et Professional versions 7.0.8 et antérieures.

Résumé

Plusieurs vulnérabilités présentes dans Adobe Reader et Adobe Acrobat permettent des attaques de type Cross Site Scripting, un déni de service ou l'exécution de code arbitraire à distance.

Description

De multiples vulnérabilités sont présentes dans les produits Adobe Reader et Adobe Acrobat :

  • la première vulnérabilité permet à une personne malveillante de réaliser des attaques de type Cross Site Scripting en injectant du code JavaScript arbitraire par le biais d'adresses réticulaires (URL) spécialement conçues ;
  • la seconde permet à une personne malintentionnée de réaliser un déni de service par le biais d'une adresse réticulaire (URL) spécialement formatée ;
  • la troisième permet l'exécution de code arbitraire dans le contexte de l'utilisateur à l'aide d'un fichier PDF spécialement conçu.

Solution

Les versions 7.0.9 et 8 corrigent les problèmes. A ce jour, Adobe n'a pas encore mis à disposition un correctif pour Adobe Reader et Adobe Acrobat version 6.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation