MaJ : Faille critique pour Adobe reader, standard et pro

• Acrobat Reader
• faille
• Adobe
• Sécurité
• Correctif
• ActiveX
• PDF

04/12-2006 à 09:18 : L'ensemble des versions est concerné

---

Mise à jour le lundu 4 décembre 09:18 qui relativise le caractère crtique de cette faille :

il est important de noter que la faille n'a pas été confirmée par Adobe, qui évoque seulement des "vulnérabilités potentielles" dans son bulletin. Secunia (concurrent de FrSIRT) et le CERT-US contestent le caractère critique et même le qualificatif de vulnérabilité. Accessoirement, le véritable découvreur de cette faille ne serait pas FrSIRT mais Michal Bucko.
Source : Secuser Merci à son webmestre

L'ensemble des versions de Adobe Reader, Acrobat Standard et Professional fait actuellement l'objet d'une faille de sécurité jugée critique par la FrSIRT French Security Incident Response Team, le centre de recherche et de veille en sécurité informatique. Toutefois, Adobe n'a pas confirmé la faille et préfère parler de "vulnérabilités potentielles".



Les versions 7.0.8 les plus récentes seraient également concernées par cette vulnérabilité. Cette dernière serait exploitable par des personnes mal intentionnées depuis un ordinateur à disance ou en local. L'éditeur annonce d'ores et déjà la publication prochaine d'un correctif de sécurité.

Selon la FrSIRT,

Plusieurs vulnérabilités ont été identifiées dans Adobe Reader et Acrobat, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent d'erreurs présentes au niveau du contrôleur ActiveX "AcroPDF.dll" qui ne gère pas correctement des méthodes "setPageMode()", "setLayoutMode()", "setNamedDest()" ou "LoadFile()" spécialement conçues, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse.

Concrètement, un PDF malveillant qui circule sur Internet et qui arrive dans votre boîte mail ou qui est disponible sur une page web pourrait permettre une exploitation à distance de la faille de sécurité. Côté navigateurs, elle est exploitable uniquement sous Internet Explorer qui présente une faiblesse dans son contrôle ActiveX AcroPDF. Les autres navigateurs ne serait pas concernés.

En attendant la pubication du correctif, Adobe recommande de supprimer le fichier AcroPDF.dll localisé dans le répertoire de Reader. Dès lors, il ne vous sera donc plus possible de visualiser de PDF directement sous Internet Explorer. Il vous faudra le télécharger à l'aide de Adobe. L'alternative Firefox est aussi possible.

• Lire le bulletin de sécurité de la FrSIRT
  
• Lire le bulletin de sécurité de Adobe (en anglais)
  
• Informations et téléchargement de Firefox 2.0

---

---

Dossiers

---