CERTA-2009-ALE-001
Vulnerability from certfr_alerte

Une vulnérabilité dans les produits Adobe permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Une erreur dans les produits Adobe relative à l'interprétation des objets encodés au format JBIG2 dans des fichiers PDF permet à un utilisateur de provoquer inopinément l'arrêt du logiciel (crash).

Elle permet également l'exécution de code arbitraire sur le système vulnérable avec les droits de l'utilisateur.

L'exploitation de la vulnérabilité ne nécessite pas nécessairement :

  • l'intervention de l'utilisateur ;
  • l'activation ou la désactivation du support Adobe JavaScript.

Certains codes d'exploitation circulant actuellement sur l'Internet sont reconnus par des antivirus sous divers noms : Trojan.Pidief.E, Bloodhound.PDF-6 (Symantec), Exploit-PDF.i (NAI, Mac Afee)...

L'application Adobe installe une extension permettant à l'explorateur de fichiers de Microsoft Windows de réaliser un aperçu des fichiers au format PDF. De ce fait, la vulnérabilité peut également être exploitée par les méthodes suivantes :

  • lors de la sélection d'un fichier PDF exploitant cette vulnérabilité ;
  • lors de l'exploration d'un répertoire avec un affichage en mode miniature des icônes.

De plus, il semblerait que cette vulnérabilité puisse être exploitée lors de l'affichage de l'infobulle lié à un fichier PDF malveillant dont les méta-données ont été spécialement construites.

Enfin, l'utilisation de services d'indexation automatique (comme WIS, Windows Indexing Services) pourrait déclencher l'exploitation de la vulnérabilité sur un fichier présent sur l'espace de stockage sans intervention particulière de l'utilisateur.

Contournement provisoire

L'éditeur Adobe annonce qu'un correctif pour la version 9.x sera disponible le 11 mars 2009.

[11 mars 2009] : L'éditeur a mis à disposition un correctif de sécurité pour les versions 9 de Adobe Reader et Acrobat. Se référer au bulletin de sécurité Adobe apsb09-03 du 10 mars 2009 pour l'obtention des correctifs (cf. section Documentation).

[20 mars 2009] : L'éditeur a mis à disposition un correctif de sécurité pour les versions 8 et 7 de Adobe Reader et Acrobat. Se référer au bulletin de sécurité Adobe apsb09-04 du 18 mars 2009 pour l'obtention des correctifs (cf. section Documentation).

Dans l'attente d'un correctif de l'éditeur, plusieurs mesures peuvent diminuer les risques :

  • utiliser un lecteur alternatif à jour. Certains peuvent fermer inopinément à l'ouverture d'un document PDF malveillant mais l'exploitation de la vulnérabilité pour exécuter du code arbitraire n'est pas, à la date de rédaction de ce bulletin, avérée ;

  • pour gêner certains codes d'exploitation, désactiver le Javascript dans les lecteur PDF Adobe et ne l'activer qu'en cas de stricte nécessité. Cette mesure s'effectue directement dans l'interface de configuration de l'application ou en mettant à 0, pour les systèmes Windows uniquement, la valeur de la variable bEnableJS qui se trouve :

    pour Adobe Reader dans :
        HCU\Software\Adobe\Acrobat Reader\<version>.0\JSPrefs
pour Adobe Acrobat dans :
        HCU\Software\Adobe\Adobe Acrobat\<version>.0\JSPrefs

  • mettre les pièces jointes au format PDF en quarantaine dans l'attente du correctif.

Par ailleurs, de bonnes pratiques permettent d'atténuer les impacts :

  • n'ouvrir que les documents au format PDF provenant d'une source de confiance ;
  • travailler avec un compte aux droits limités.

Afin de limiter l'impact d'un fichier PDF spécialement construit dans le contexte de l'explorateur de fichiers de Microsoft Windows, le contournement suivant peut être appliqué :

  • Après l'avoir sauvegardée, supprimer de la base de registre la clé :
    HKEY_CLASSES_ROOT\CLSID\{F9DB5320-233E-11D1-9F84-707F02C10627}

Exemple d'application avec un interpréteur de commandes sous Microsoft Windows :

regsvr32 /u ``c:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll''

ou encore :

reg export HKCR\CLSID\{F9DB5320-233E-11D1-9F84-707F02C10627} .\export.reg
reg delete HKCR\CLSID\{F9DB5320-233E-11D1-9F84-707F02C10627}

Solution

Se référer aux bulletins de sécurité Adobe APSB09-03 et APSB09-04 publiés le 10 et le 18 mars respectivement pour l'obtention des correctifs (cf. section Documentation). Le CERTA a émis l'avis CERTA-2009-AVI-094 à ce sujet.

None
Impacted products
Vendor Product Description
Adobe Acrobat Adobe Acrobat Standard, Pro et Pro Extended, versions 9.x, 8.x et 7.x.
Adobe N/A Adobe Reader versions 9.x, 8.x et 7.x ;
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Adobe Acrobat Standard, Pro et Pro Extended, versions 9.x, 8.x et 7.x.",
      "product": {
        "name": "Acrobat",
        "vendor": {
          "name": "Adobe",
          "scada": false
        }
      }
    },
    {
      "description": "Adobe Reader versions 9.x, 8.x et 7.x ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Adobe",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2009-03-20",
  "content": "## Description\n\nUne erreur dans les produits Adobe relative \u00e0 l\u0027interpr\u00e9tation des\nobjets encod\u00e9s au format JBIG2 dans des fichiers PDF permet \u00e0 un\nutilisateur de provoquer inopin\u00e9ment l\u0027arr\u00eat du logiciel (crash).\n\nElle permet \u00e9galement l\u0027ex\u00e9cution de code arbitraire sur le syst\u00e8me\nvuln\u00e9rable avec les droits de l\u0027utilisateur.\n\nL\u0027exploitation de la vuln\u00e9rabilit\u00e9 ne n\u00e9cessite pas n\u00e9cessairement\u00a0:\n\n-   l\u0027intervention de l\u0027utilisateur ;\n-   l\u0027activation ou la d\u00e9sactivation du support Adobe JavaScript.\n\n  \n  \n\nCertains codes d\u0027exploitation circulant actuellement sur l\u0027Internet sont\nreconnus par des antivirus sous divers noms\u00a0: Trojan.Pidief.E,\nBloodhound.PDF-6 (Symantec), Exploit-PDF.i (NAI, Mac Afee)...\n\n  \n  \n\nL\u0027application Adobe installe une extension permettant \u00e0 l\u0027explorateur de\nfichiers de Microsoft Windows de r\u00e9aliser un aper\u00e7u des fichiers au\nformat PDF. De ce fait, la vuln\u00e9rabilit\u00e9 peut \u00e9galement \u00eatre exploit\u00e9e\npar les m\u00e9thodes suivantes :\n\n-   lors de la s\u00e9lection d\u0027un fichier PDF exploitant cette vuln\u00e9rabilit\u00e9\n    ;\n-   lors de l\u0027exploration d\u0027un r\u00e9pertoire avec un affichage en mode\n    miniature des ic\u00f4nes.\n\nDe plus, il semblerait que cette vuln\u00e9rabilit\u00e9 puisse \u00eatre exploit\u00e9e\nlors de l\u0027affichage de l\u0027infobulle li\u00e9 \u00e0 un fichier PDF malveillant dont\nles m\u00e9ta-donn\u00e9es ont \u00e9t\u00e9 sp\u00e9cialement construites.\n\nEnfin, l\u0027utilisation de services d\u0027indexation automatique (comme WIS,\nWindows Indexing Services) pourrait d\u00e9clencher l\u0027exploitation de la\nvuln\u00e9rabilit\u00e9 sur un fichier pr\u00e9sent sur l\u0027espace de stockage sans\nintervention particuli\u00e8re de l\u0027utilisateur.\n\n## Contournement provisoire\n\nL\u0027\u00e9diteur Adobe annonce qu\u0027un correctif pour la version 9.x sera\ndisponible le 11 mars 2009.\n\n\u003cspan class=\"textbf\"\u003e\\[11 mars 2009\\]\u003c/span\u003e : L\u0027\u00e9diteur a mis \u00e0\ndisposition un correctif de s\u00e9curit\u00e9 pour les versions 9 de Adobe Reader\net Acrobat. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Adobe apsb09-03 du 10\nmars 2009 pour l\u0027obtention des correctifs (cf. section Documentation).\n\n\u003cspan class=\"textbf\"\u003e\\[20 mars 2009\\]\u003c/span\u003e : L\u0027\u00e9diteur a mis \u00e0\ndisposition un correctif de s\u00e9curit\u00e9 pour les versions 8 et 7 de Adobe\nReader et Acrobat. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 Adobe apsb09-04 du\n18 mars 2009 pour l\u0027obtention des correctifs (cf. section\nDocumentation).\n\nDans l\u0027attente d\u0027un correctif de l\u0027\u00e9diteur, plusieurs mesures peuvent\ndiminuer les risques :\n\n-   utiliser un lecteur alternatif \u00e0 jour. Certains peuvent fermer\n    inopin\u00e9ment \u00e0 l\u0027ouverture d\u0027un document PDF malveillant mais\n    l\u0027exploitation de la vuln\u00e9rabilit\u00e9 pour ex\u00e9cuter du code arbitraire\n    n\u0027est pas, \u00e0 la date de r\u00e9daction de ce bulletin, av\u00e9r\u00e9e\u00a0;\n\n-   pour g\u00eaner certains codes d\u0027exploitation, d\u00e9sactiver le Javascript\n    dans les lecteur PDF Adobe et ne l\u0027activer qu\u0027en cas de stricte\n    n\u00e9cessit\u00e9. Cette mesure s\u0027effectue directement dans l\u0027interface de\n    configuration de l\u0027application ou en mettant \u00e0 0, pour les syst\u00e8mes\n    Windows uniquement, la valeur de la variable bEnableJS qui se\n    trouve\u00a0:\n\n        pour Adobe Reader dans :\n                HCU\\Software\\Adobe\\Acrobat Reader\\\u003cversion\u003e.0\\JSPrefs\n        pour Adobe Acrobat dans :\n                HCU\\Software\\Adobe\\Adobe Acrobat\\\u003cversion\u003e.0\\JSPrefs\n\n-   mettre les pi\u00e8ces jointes au format PDF en quarantaine dans\n    l\u0027attente du correctif.\n\nPar ailleurs, de bonnes pratiques permettent d\u0027att\u00e9nuer les impacts\u00a0:\n\n-   n\u0027ouvrir que les documents au format PDF provenant d\u0027une source de\n    confiance\u00a0;\n-   travailler avec un compte aux droits limit\u00e9s.\n\n  \n\nAfin de limiter l\u0027impact d\u0027un fichier PDF sp\u00e9cialement construit dans le\ncontexte de l\u0027explorateur de fichiers de Microsoft Windows, le\ncontournement suivant peut \u00eatre appliqu\u00e9 :\n\n-   Apr\u00e8s l\u0027avoir sauvegard\u00e9e, supprimer de la base de registre la cl\u00e9\n    :  \n    `HKEY_CLASSES_ROOT\\CLSID\\{F9DB5320-233E-11D1-9F84-707F02C10627}`\n\nExemple d\u0027application avec un interpr\u00e9teur de commandes sous Microsoft\nWindows :\n\n    regsvr32 /u ``c:\\Program Files\\Fichiers communs\\Adobe\\Acrobat\\ActiveX\\PDFShell.dll\u0027\u0027\n\nou encore :\n\n    reg export HKCR\\CLSID\\{F9DB5320-233E-11D1-9F84-707F02C10627} .\\export.reg\n    reg delete HKCR\\CLSID\\{F9DB5320-233E-11D1-9F84-707F02C10627}\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 Adobe APSB09-03 et APSB09-04\npubli\u00e9s le 10 et le 18 mars respectivement pour l\u0027obtention des\ncorrectifs (cf. section Documentation). Le CERTA a \u00e9mis l\u0027avis\nCERTA-2009-AVI-094 \u00e0 ce sujet.\n",
  "cves": [
    {
      "name": "CVE-2009-0658",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-0658"
    }
  ],
  "initial_release_date": "2009-02-20T00:00:00",
  "last_revision_date": "2009-03-20T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 du CERTA CERTA-2009-AVI-094 du 11 mars    2009\u00a0:",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-094/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe apsa09-01 du 19 f\u00e9vrier 2009 :",
      "url": "http://www.adobe.com/support/security/advisories/apsa09-01.html"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERTA-2009-ACT-008, \u00ab Vuln\u00e9rabilit\u00e9    non corrig\u00e9e dans Adobe Reader \u00bb\u00a0:",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-008.pdf"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERTA-2009-ACT-010, \u00ab Retour sur la    vuln\u00e9rabilit\u00e9 PDF \u00bb\u00a0:",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-010.pdf"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe apsb09-03 du 10 mars 2009 :",
      "url": "http://www.adobe.com/support/security/bulletins/apsb09-03.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe apsb09-04 du 18 mars 2009\u00a0:",
      "url": "http://www.adobe.com/support/security/bulletins/apsb09-04.html"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERTA-2009-ACT-009, \u00ab Retour sur    l\u0027alerte CERTA-2009-ALE-001 concernant Adobe \u00bb\u00a0:",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-009.pdf"
    }
  ],
  "reference": "CERTA-2009-ALE-001",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2009-02-20T00:00:00.000000"
    },
    {
      "description": "ajout des cl\u00e9s de registre pour la d\u00e9sactivation de l\u0027interpr\u00e9tation JS par GPO.",
      "revision_date": "2009-02-23T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour de la section \u00abDescription\u00bb et de la section \u00abContournement provisoire\u00bb.",
      "revision_date": "2009-03-06T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins d\u0027actualit\u00e9 du CERTA.",
      "revision_date": "2009-03-10T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 d\u0027Adobe et du CERTA.",
      "revision_date": "2009-03-11T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences au dernier bulletin de s\u00e9curit\u00e9 d\u0027Adobe APSB09-04.",
      "revision_date": "2009-03-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans les produits Adobe permet \u00e0 un utilisateur\nmalveillant d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans l\u0027interpr\u00e9tation JBIG2 des produits Adobe",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Adobe APSA09-01 du 19 f\u00e9vrier 2009",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.