S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 mai 2008
N^o CERTA-2008-AVI-053-003

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Multiples vulnérabilités dans Adobe Reader

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2008-AVI-053-003
Titre	Multiples vulnérabilités dans Adobe Reader
Date de la première version	06 février 2008
Date de la dernière version	13 mai 2008
Source(s)	Bulletin kb403079 d'Adobe publié le 05 février 2008
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance ;
contournement de la politique de sécurité.

2 Systèmes affectés

Adobe Reader, pour les versions antérieures à 8.1.2.

3 Description

Des vulnérabilités non spécifiées ont été annoncées par l'éditeur. Certaines pourraient être exploitées par des personnes malveillantes afin d'exécuter du code arbitraire à distance sur un système ayant une version d'Adobe Reader vulnérable.

D'autres vulnérabilités permettraient de contourner la politique de sécurité mise en place dans un document.

4 Solution

Se référer au bulletin de sécurité kb403079 d'Adobe pour l'obtention des correctifs (cf. section Documentation).

5 Documentation

Note d'information de changement de version Adobe kb403079 du 05 février 2008 :
```
http://www.adobe.com/go/kb403079
```
Bulletin de sécurité Adobe APSA08-01 publié le 07 février 2008 :
```
http://www.adobe.com/support/security/advisories/apsa08-01.html
```
Bulletin de sécurité Adobe APSB08-13 publié le 06 mai 2008 :
```
http://www.adobe.com/support/security/bulletins/apsb08-13.html
```

Référence CVE CVE-2007-4768 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4768

Référence CVE CVE-2007-5659 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5659

Référence CVE CVE-2007-5663 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5663

Référence CVE CVE-2007-5666 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5666

Référence CVE CVE-2008-0655 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0655

Référence CVE CVE-2008-0667 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0667

Référence CVE CVE-2008-0726 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0726

Référence CVE CVE-2008-2042 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2042

Gestion détaillée du document

06 février 2008: version initiale.
08 février 2008: modification des risques et ajout des références au CVE et au bulletin APSA08-01.
06 mars 2008: ajout de références aux CVE.
13 mai 2008: ajout de références aux CVE et APSB08-13 mentionnant la mise à disposition du correctif pour la branche 7 Adobe Reader.

CERTA
2010-01-20