Date de publication : 13 octobre 2009
Identifiant de vulnérabilité : APSB15-09
Références CVE : CVE-2007-0048, CVE-2007-0045, CVE-2009-2564, CVE-2009-2979, CVE-2009-2980, CVE-2009-2981, CVE-2009-2982, CVE-2009-2983, CVE-2009-2984, CVE-2009-2985, CVE-2009-2986, CVE-2009-2987, CVE-2009-2988, CVE-2009-2989, CVE-2009-2990, CVE-2009-2991, CVE-2009-2992, CVE-2009-2993, CVE-2009-2994, CVE-2009-2995, CVE-2009-2996, CVE-2009-2997, CVE-2009-2998, CVE-2009-3431, CVE-2009-3458, CVE-2009-3459, CVE-2009-3460, CVE-2009-3461, CVE-2009-3462
Plate-forme : toutes
Des vulnérabilités critiques ont été identifiées dans Adobe Reader et Acrobat versions 9.1.3, Adobe Reader et Acrobat versions 8.1.6 pour Windows, Macintosh et UNIX, et Adobe Reader et Acrobat versions 7.1.3 pour Windows et Macintosh. Ces vulnérabilités sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné. Il s'agit de la seconde mise à niveau de sécurité trimestrielle pour Adobe Reader et Acrobat.
Adobe recommande aux utilisateurs d'Acrobat et d'Adobe Reader versions 9.1.3 et antérieures de passer à la version 9.2, aux utilisateurs d'Acrobat versions 8.1.6 et antérieures de passer à la version 8.1.7 et aux utilisateurs d'Acrobat versions 7.1.3 et antérieures de passer à la version 7.1.4. Les utilisateurs d'Adobe Reader ne pouvant pas effectuer la mise à niveau vers Adobe Reader 9.2 doivent installer Adobe Reader 8.1.7 ou Adobe Reader 7.1.4. Ces mises à niveau concernent la totalité des plates-formes : Windows, Macintosh et UNIX.
Adobe Reader versions 9.1.3 et antérieures pour Windows, Macintosh et UNIX
Adobe Acrobat versions 9.1.3 et antérieures pour Windows et Macintosh
Adobe Reader
Les mises à niveau destinées aux utilisateurs d'Adobe Reader pour Windows sont disponibles à l'adresse suivante : /support/downloads/product.jsp?product=10&platform=Windows
Les mises à niveau destinées aux utilisateurs d'Adobe Reader pour Macintosh sont disponibles à l'adresse suivante : /support/downloads/product.jsp?product=10&platform=Macintosh
Les mises à niveau destinées aux utilisateurs d'Adobe Reader pour UNIX sont disponibles à l'adresse suivante : /support/downloads/product.jsp?product=10&platform=Unix
Acrobat
Les mises à niveau destinées aux utilisateurs d'Acrobat Standard et Pro pour Windows sont disponibles à l'adresse suivante :
/support/downloads/product.jsp?product=1&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Acrobat Pro Extended pour Windows sont disponibles à l'adresse suivante : /support/downloads/product.jsp?product=158&platform=Windows
Les mises à niveau destinées aux utilisateurs d'Acrobat 3D pour Windows sont disponibles à l'adresse suivante :
/support/downloads/product.jsp?product=112&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Acrobat 3D pour Macintosh sont disponibles à l'adresse suivante :
/support/downloads/product.jsp?product=1&platform=Macintosh.
Adobe classe cette mise à niveau parmi les problèmes critiques.
Des vulnérabilités critiques ont été identifiées dans Adobe Reader et Acrobat versions 9.1.3, Adobe Reader et Acrobat versions 8.1.6 pour Windows, Macintosh et UNIX, et Adobe Reader et Acrobat versions 7.1.3 pour Windows et Macintosh. Ces vulnérabilités sont susceptibles de provoquer un dysfonctionnement de l'application et pourraient éventuellement permettre à un pirate de prendre le contrôle du système concerné. Il s'agit de la seconde mise à niveau de sécurité trimestrielle pour Adobe Reader et Acrobat.
Adobe recommande aux utilisateurs d'Acrobat et d'Adobe Reader versions 9.1.3 et antérieures de passer à la version 9.2, aux utilisateurs d'Acrobat versions 8.1.6 et antérieures de passer à la version 8.1.7 et aux utilisateurs d'Acrobat versions 7.1.3 et antérieures de passer à la version 7.1.4. Les utilisateurs d'Adobe Reader ne pouvant pas effectuer la mise à niveau vers Adobe Reader 9.2 doivent installer Adobe Reader 8.1.7 ou Adobe Reader 7.1.4. Ces mises à niveau concernent la totalité des plates-formes : Windows, Macintosh et UNIX.
Cette mise à niveau corrige une vulnérabilité liée à un débordement de tas susceptible d'entraîner l'exécution de code (CVE-2009-3459).
REMARQUE : il est avéré que des pirates ont réussi à tirer parti de cette vulnérabilité, par la biais d'attaques ciblées limitées.
Cette mise à niveau corrige un problème de type corruption mémoire susceptible d'entraîner l'exécution de code (CVE-2009-2985).
Cette mise à niveau corrige plusieurs vulnérabilités liées à un débordement de tas et susceptibles d'entraîner l'exécution de code (CVE-2009-2986).
Cette mise à niveau corrige un problème de type index de tableau incorrect susceptible d'entraîner l'exécution de code (CVE-2009-2990).
REMARQUE : ce problème est résolu dans Adobe Reader et Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème d'exploitation à distance spécifique au module externe Mozilla dont un pirate pourrait tirer parti pour exécuter un code quelconque avec les autorisations de l'utilisateur actuel (CVE-2009-2991).
REMARQUE : ce problème est résolu dans Adobe Reader et Acrobat versions 8.1.7.
Cette mise à niveau corrige plusieurs vulnérabilités de validation en entrée susceptibles d'entraîner l'exécution de code (CVE-2009-2993).
Cette mise à niveau corrige un problème de dépassement de mémoire tampon susceptible d'entraîner l'exécution de code (CVE-2009-2994).
Cette mise à niveau corrige une vulnérabilité liée à un débordement de tas susceptible d'entraîner l'exécution de code (CVE-2009-2997).
Cette mise à niveau corrige un problème de validation en entrée susceptible d'entraîner l'exécution de code (CVE-2009-2998).
Cette mise à niveau corrige un problème de validation en entrée susceptible d'entraîner l'exécution de code (CVE-2009-3458).
Cette mise à niveau corrige un problème de corruption mémoire susceptible d'entraîner l'exécution de code. Cette vulnérabilité, spécifique à Acrobat, ne concerne pas Adobe Reader. (CVE-2009-3460).
REMARQUE : ce problème est résolu dans Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème de débordement d'entier susceptible d'entraîner l'exécution de code. Ce problème, spécifique à Acrobat, ne concerne pas Adobe Reader. (CVE-2009-2989).
REMARQUE : ce problème est résolu dans Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème de type corruption mémoire donnant lieu à un déni de service (DoS) ; bien que l'exécution d'un code quelconque n'ait pas été prouvée, elle demeure possible (CVE-2009-2983).
REMARQUE : ce problème est résolu dans Adobe Reader et Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème de débordement d'entier donnant lieu à un déni de service (DoS) ; bien que l'exécution d'un code quelconque n'ait pas été prouvée, elle demeure possible (CVE-2009-2980).
Cette mise à niveau corrige un problème de type corruption mémoire donnant lieu à un déni de service (DoS) ; bien que l'exécution d'un code quelconque n'ait pas été prouvée, elle demeure possible (CVE-2009-2996).
Cette mise à niveau corrige une bogue Unix survenant en mode de débogage et susceptible d'entraîner l'exécution d'un code quelconque (CVE-2009-3462).
Cette mise à niveau corrige un problème de décodeur d'images donnant lieu à un déni de service (DoS) ; bien que l'exécution d'un code quelconque n'ait pas été prouvée, elle demeure possible. Ce problème, spécifique à Acrobat, ne concerne pas Adobe Reader. (CVE-2009-2984).
REMARQUE : ce problème est résolu dans Acrobat 9.2.
Cette mise à niveau corrige un problème de validation en entrée susceptible d'entraîner le contournement des restrictions du gestionnaire de confiance (CVE-2009-2981).
Cette mise à niveau corrige un problème dont un utilisateur malveillant pourrait tirer parti pour contourner les contrôles de sécurité des extensions de fichiers. Ce problème est spécifique à Acrobat 9.X (CVE-2009-3461).
Cette mise à niveau modifie un certificat, qui, s'il était compromis, serait susceptible d'être exploité dans une attaque de type ingénierie sociale ou piratage psychologique (CVE-2009-2982).
REMARQUE : ce problème est résolu dans Adobe Reader et Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème de débordement de pile susceptible de donner lieu à un déni de service (DoS) (CVE-2009-3431).
REMARQUE : ce problème est résolu dans Adobe Reader et Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème d'expansion d'entités XMP-XML susceptible de donner lieu à un déni de service (DoS) (CVE-2009-2979).
REMARQUE : ce problème est résolu dans Adobe Reader et Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème de déni de service à distance du contrôle ActiveX spécifique au système d'exploitation Windows (CVE-2009-2987).
Cette mise à niveau corrige un problème de validation en entrée susceptible de donner lieu à un déni de service (DoS) (CVE-2009-2988).
Cette mise à niveau corrige un problème de validation en entrée spécifique au contrôle ActiveX et susceptible de donner lieu à un déni de service (DoS) (CVE-2009-2992).
REMARQUE : ce problème est résolu dans Adobe Reader et Acrobat versions 9.2 et 8.1.7.
Cette mise à niveau corrige un problème de débordement d'entier donnant lieu à un déni de service (DoS). Ce problème, spécifique à Acrobat, ne concerne pas Adobe Reader. (CVE-2009-2995).
Cette mise à niveau corrige un produit de téléchargement web tiers qu'utilise Adobe Reader et susceptible d'entraîner des remontées d'autorisations en local (CVE-2009-2564).
Cette mise à niveau corrige un problème de type attaque multisite par scripts lorsque le module externe de navigateur est utilisé avec Google Chrome et Opera (CVE-2007-0048, CVE-2007-0045).
Adobe tient à remercier les personnes et sociétés suivantes d'avoir signalé ces problèmes et de joindre leurs efforts aux nôtres pour assurer la sécurité de nos clients :
13 octobre 2009 - Actualisation du bulletin
8 octobre 2009 - Publication de l'avis
