Date de publication : 21 avril 2011
Identifiant de vulnérabilité : APSB11-08
Références CVE : CVE-2011-0611, CVE-2011-0610
Plate-forme : toutes plates-formes
Des vulnérabilités critiques ont été identifiées dans Adobe Reader et Acrobat X (10.0.2) et dans les versions antérieures 10.x et 9.x sur les systèmes d'exploitation Windows et Macintosh. Ces vulnérabilités (notamment CVE-2011-0611), telles que référencées dans l'avis de sécurité APSA11-02, sont susceptibles de provoquer un dysfonctionnement de l'application et peuvent éventuellement permettre à un pirate de prendre le contrôle du système concerné. Il est avéré que des pirates ont réussi à tirer parti de l'une de ces vulnérabilités, CVE-2011-0611, à la fois dans Adobe Flash Player, Adobe Reader et Adobe Acrobat, ainsi que via un fichier Flash (.swf) incorporé dans un fichier Microsoft Word (.doc) ou Microsoft Excel (.xls) joint à un e-mail ciblant la plate-forme Windows. Le mode protégé d'Adobe Reader X devrait prévenir ces attaques.
Adobe recommande aux utilisateurs d'Adobe Reader X (10.0.2) pour Macintosh de passer à la version 10.0.3. Adobe a mis Adobe Reader 9.4.4 à la disposition des utilisateurs d'Adobe Reader 9.4.3 pour Windows et Macintosh. Adobe recommande aux utilisateurs d'Adobe Acrobat X (10.0.2) pour Windows et Macintosh de passer à la version Adobe Acrobat X (10.0.3) et aux utilisateurs d'Adobe Acrobat 9.4.3 pour Windows et Macintosh de passer à la version 9.4.4. Le mode protégé d'Adobe Reader X étant censé prévenir les attaques qui tirent parti de la vulnérabilité CVE-2011-0611, nous devrions résoudre ces problèmes dans Adobe Reader X pour Windows lors de la prochaine mise à niveau de sécurité trimestrielle d'Adobe Reader, actuellement prévue pour le 14 juin 2011. Les mises à niveau de sécurité publiées aujourd'hui sont des mises à niveau d'urgence.
REMARQUE : ne sont pas concernés par CVE-2011-0611 les logiciels Adobe Reader 9.x pour UNIX, Adobe Reader pour Android, ainsi qu'Adobe Reader et Acrobat 8.x.
Adobe recommande aux utilisateurs d'effectuer la mise à niveau de leurs installations en procédant comme suit :
Adobe Reader
Les utilisateurs sous Windows et sur Macintosh peuvent utiliser la fonction de mise à niveau automatique. Dans le cas d'une installation par défaut, des mises à niveau automatiques sont exécutées régulièrement ; il est possible de les activer manuellement en choisissant Aide > Rechercher les mises à jour.
Les mises à niveau destinées aux utilisateurs d'Adobe Reader 9.x pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Adobe Reader 10.x et 9.x pour Macintosh sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.
Le mode protégé d'Adobe Reader X (10.x) étant censé prévenir ces attaques, nous devrions résoudre ce problème dans Adobe Reader X pour Windows lors de la prochaine mise à niveau de sécurité trimestrielle du logiciel, actuellement prévue pour le 14 juin 2011.
Adobe Acrobat
Les utilisateurs peuvent utiliser la fonction de mise à niveau automatique. Dans le cas d'une installation par défaut, des mises à niveau automatiques sont exécutées régulièrement ; il est possible de les activer manuellement en choisissant Aide > Rechercher les mises à jour.
Les mises à niveau destinées aux utilisateurs d'Acrobat Standard et Pro 10.x et 9.x pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Acrobat Pro Extended 9.x pour Windows sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows.
Les mises à niveau destinées aux utilisateurs d'Acrobat Pro pour Macintosh sont également disponibles à l'adresse suivante :
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
Adobe classe cette mise à niveau comme critique et recommande aux utilisateurs concernés de mettre à niveau leurs installations avec les dernières versions des logiciels.
Des vulnérabilités critiques ont été identifiées dans Adobe Reader et Acrobat X (10.0.2) et dans les versions 10.x et 9.x antérieures sur les systèmes d'exploitation Windows et Macintosh. Ces vulnérabilités (notamment CVE-2011-0611), telles que référencées dans l'avis de sécurité APSA11-02, sont susceptibles de provoquer un dysfonctionnement de l'application et peuvent éventuellement permettre à un pirate de prendre le contrôle du système concerné. Il est avéré que des pirates ont réussi à tirer parti de l'une de ces vulnérabilités, CVE-2011-0611, à la fois dans Adobe Flash Player, Adobe Reader et Adobe Acrobat, ainsi que via un fichier Flash (.swf) incorporé dans un fichier Microsoft Word (.doc) ou Microsoft Excel (.xls) joint à un e-mail ciblant la plate-forme Windows. Le mode protégé d'Adobe Reader X devrait prévenir ces attaques.
Adobe recommande aux utilisateurs d'Adobe Reader X (10.0.2) pour Macintosh de passer à la version 10.0.3. Adobe a mis Adobe Reader 9.4.4 à la disposition des utilisateurs d'Adobe Reader 9.4.3 pour Windows et Macintosh. Adobe recommande aux utilisateurs d'Adobe Reader X (10.0.2) pour Windows et Macintosh de passer à la version 10.0.3 et aux utilisateurs d'Adobe Acrobat 9.4.3 pour Windows et Macintosh de passer à la version 9.4.4. Le mode protégé d'Adobe Reader X étant censé prévenir les attaques qui tirent parti de la vulnérabilité CVE-2011-0611, nous devrions résoudre ces problèmes dans Adobe Reader X pour Windows lors de la prochaine mise à niveau de sécurité trimestrielle d'Adobe Reader, actuellement prévue pour le 14 juin 2011. Les mises à niveau de sécurité publiées aujourd'hui sont des mises à niveau d'urgence.
(Remarque : Adobe Reader pour Android n'est pas concerné par ces vulnérabilités.)
Ces mises à niveau corrigent une vulnérabilité de type corruption de mémoire susceptible d'entraîner l'exécution de code (CVE-2011-0611).
Ces mises à niveau corrigent une vulnérabilité de type corruption de mémoire dans la bibliothèque CoolType susceptible d'entraîner l'exécution de code (CVE-2011-0610).
REMARQUE : Adobe n'a pas connaissance de faits de piratage ciblant CVE-2011-0610.
Adobe tient à remercier les personnes et sociétés suivantes d'avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :
Paul Baccas, Sophos (CVE-2011-0610)
