S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 mars 2009
N° CERTA-2009-AVI-090
Affaire suivie par: CERT-FR
le 10 mars 2009

Avis du CERT-FR

Objet: Vulnérabilités dans Foxit Reader

Gestion du document

Référence CERTA-2009-AVI-090
Titre Vulnérabilités dans Foxit Reader
Date de la première version 10 mars 2009
Date de la dernière version 10 mars 2009
Source(s) Bulletins de sécurité Foxit Software
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Foxit Reader 2.x ;
  • Foxit Reader 3.x.

Résumé

Plusieurs vulnérabilités présentes dans Foxit Reader permettent à un utilisateur malveillant de contourner la politique de sécurité ou d'exécuter du code arbitraire à distance.

Description

Deux vulnérabilités de type débordement de mémoire permettent à une personne malintentionnée d'exécuter du code arbitraire à distance au moyen d'un fichier au format PDF spécialement construit. L'une des deux vulnérabilités a fait l'objet de l'alerte CERTA-2009-ALE-001.

Une troisième vulnérabilité permet de contourner la politique de sécurité afin d'exécuter une action définie dans le fichier au format PDF sans confirmation de l'utilisateur.

Solution

Se référer au bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 mars 2009
    version initiale.