Vulnérabilité
critique dans Adobe Reader et Acrobat (22/10/07)
RESUME :
Un défaut de sécurité a été identifié
dans les logiciels Adobe Reader et Adobe Acrobat, qui permettent
de lire et de créer des documents au format PDF. L'exploitation
d'une erreur dans la gestion des adresses URI (voir alerte
du 21/09/07) peut permettre à un individu malveillant
ou à un virus d'exécuter du code malicieux sur l'ordinateur
de sa victime via un document PDF piégé, sur un système
équipé de Windows XP et du navigateur Internet Explorer
7.0.
LOGICIELS CONCERNES :
Adobe Reader 8.1 et versions inférieures
Adobe Reader 7.0.9 et versions inférieures
Adobe Acrobat Standard 8.1 et versions inférieures
Adobe Acrobat Standard 7.0.9 et versions inférieures
Adobe Acrobat Professional 8.1 et versions inférieures
Adobe Acrobat Professional 7.0.9 et versions inférieures
Adobe Acrobat 3D 8.1 et versions inférieures
Adobe Acrobat 3D 7.0.9 et versions inférieures
CORRECTIF :
Les utilisateurs
concernés doivent installer immédiatement la nouvelle version du
logiciel (8.1.1 ou supérieure) en la téléchargeant
sur le site de l'éditeur, afin de prévenir
toute exploitation malveillante de ce défaut de sécurité
:
Les mises à jour concernant les versions 7.0.9 seront publiées
ultérieurement. En attendant, les utilisateurs ne pouvant
passer aux version 8.1.1 peuvent appliquer
la méthode
de contournement provisoire proposée par l'éditeur
en désactivant la fonction mailto via le registre de Windows
(opération toutefois déconseillée aux non initiés).
Les utilisateurs
d'une autre version que Windows XP ou n'ayant pas installé
le navigateur Internet Explorer 7.0 ne sont pas concernés
par ce défaut de sécurité mais peuvent tout
de même installer la mise à jour du logiciel Adobe,
qui comporte des améliorations en terme de stabilité
et de fonctionnalités.
INFORMATIONS COMPLEMENTAIRES :
-> Adobe
Security bulletin APSB07-18 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|