CERTA-2004-AVI-065
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité du produit Adobe Acrobat Reader permet à un utilisateur mal intentionné d'exécuter du code arbitraire par le biais d'un fichier .xfdf.
Description
Le lecteur Adobe Acrobat Reader peut être utilisé pour visualiser des documents au format PDF. Il peut être également utilisé avec les documents au format XFDF (XML Forms Data Format).
Lorsqu'un document au format XFDF est traité par Acrobat Reader, la fonction sprintf() est appelée de manière non sûre, et présente une vulnérabilité de type débordement de mémoire.
Un utilisateur mal intentionné peut exploiter cette vulnérabilité à l'aide d'un document au format XFDF malicieusement construit pour exécuter du code arbitraire sur la machine victime.
Solution
La version 6.0 d'Adobe Acrobat Reader corrige cette vulnérabilité.
Adobe Acrobat Reader version 5.1 pour les systèmes Microsoft Windows.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eAdobe Acrobat Reader version 5.1 pour les syst\u00e8mes Microsoft Windows.\u003c/P\u003e",
"content": "## Description\n\nLe lecteur Adobe Acrobat Reader peut \u00eatre utilis\u00e9 pour visualiser des\ndocuments au format PDF. Il peut \u00eatre \u00e9galement utilis\u00e9 avec les\ndocuments au format XFDF (XML Forms Data Format). \n\nLorsqu\u0027un document au format XFDF est trait\u00e9 par Acrobat Reader, la\nfonction sprintf() est appel\u00e9e de mani\u00e8re non s\u00fbre, et pr\u00e9sente une\nvuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire. \n\nUn utilisateur mal intentionn\u00e9 peut exploiter cette vuln\u00e9rabilit\u00e9 \u00e0\nl\u0027aide d\u0027un document au format XFDF malicieusement construit pour\nex\u00e9cuter du code arbitraire sur la machine victime.\n\n## Solution\n\nLa version 6.0 d\u0027Adobe Acrobat Reader corrige cette vuln\u00e9rabilit\u00e9.\n",
"cves": [],
"links": [],
"reference": "CERTA-2004-AVI-065",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-03-04T00:00:00.000000"
},
{
"description": "premi\u00e8re r\u00e9vision : seuls les syst\u00e8mes Windows sont vuln\u00e9rables.",
"revision_date": "2004-03-11T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 du produit Adobe Acrobat Reader permet \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire par le biais\nd\u0027un fichier \u003cspan class=\"textit\"\u003e.xfdf\u003c/span\u003e.\n",
"title": "Vuln\u00e9rabilit\u00e9 d\u0027Adobe Acrobat Reader",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de s\u00e9curit\u00e9 de NGSSoftware",
"url": "http://www.nextgenss.com/advisories/adobexfdf.txt"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.