S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 octobre 2009
N^o CERTA-2009-ALE-018-002

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Vulnérabilité dans Adobe Reader et Adobe Acrobat

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-018

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2009-ALE-018-002
Titre	Vulnérabilité dans Adobe Reader et Adobe Acrobat
Date de la première version	09 octobre 2009
Date de la dernière version	14 octobre 2009
Source(s)	Bulletin de sécurité Adobe APSB09-15 du 8 octobre 2009
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Adobe Reader et Acrobat, versions 9.1.3 et antérieures, pour toutes les plateformes ;
Adobe Reader et Acrobat, versions 8.1.6 et antérieures, pour toutes les plateformes ;
Adobe Reader et Acrobat, versions 7.1.3 et antérieures, pour toutes les plateformes.

3 Résumé

Une vulnérabilité non détaillée affecte Adobe Reader et Adobe Acrobat. Elle permet l'exécution de code arbitraire à distance.

4 Description

Une vulnérabilité non détaillée affecte Adobe Reader et Adobe Acrobat. Elle permet l'exécution de code arbitraire à distance. L'exploitation de cette vulnérabilité ne nécessite pas que le support du Javascript soit activé bien que cela en facilite son utilisation.

Du code permettant l'exploitation de cette vulnérabilité est disponible sur l'Internet.

5 Contournement provisoire

L'editeur annonce un correctif pour le 13 octobre 2009.

En attendant le CERTA recommande :

d'utiliser des logiciels alternatifs ;
de laisser inactif l'interprétation des Javascript ;
d'activer le DEP (Data Execution Protection) sur windows Vista pour tous les exécutables du système (l'activation de cette fonctionnalité peut avoir des effets indésirables sur certaines applications) ;
de convertir les fichiers suspects au format ps puis de nouveau au format PDF sur une machine sas ;
de n'ouvrir que des fichiers provenant de sources qualifiées de sûres.

6 Solution

Se référer au bulletin Adobe APSB09-15 du 13 octobre 2009 pour l'obtention des correctifs (cf. section Documentation).

7 Documentation

Bulletin de sécurité Adobe APSB09-15 du 08 octobre 2009, mis à jour le 13 octobre 2009 :
```
http://www.adobe.com/support/security/bulletins/apsb09-15.html
```

Avis de sécurité du CERTA CERTA-2009-AVI-445 du 14 octobre 2009 :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-445/index.html

Référence CVE CVE-2009-3459 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3459

Gestion détaillée du document

09 octobre 2009: version initiale.
09 octobre 2009: ajout d'un contournement et de versions vulnérables.
14 octobre 2009: ajout de la solution.

CERTA
2010-01-20