CERTA-2009-AVI-094
Vulnerability from certfr_avis
Une vulnérabilité dans l'interprétation des documents PDF par différents lecteurs permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
Une erreur dans différents produits relative à l'interprétation des objets encodés au format JBIG2 dans des fichiers PDF permet à un utilisateur de provoquer l'arrêt du logiciel (crash).
Elle permet également l'exécution de code arbitraire sur le système vulnérable avec les droits de l'utilisateur.
L'exploitation de la vulnérabilité ne nécessite pas nécessairement :
- l'intervention de l'utilisateur ;
- l'activation ou la désactivation du support du langage JavaScript.
Certains codes d'exploitation circulant actuellement sur l'Internet sont reconnus par des antivirus sous divers noms : Trojan.Pidief.E, Bloodhound.PDF-6 (Symantec), Exploit-PDF.i (NAI, Mac Afee)...
Certains lecteurs PDF installent une extension permettant à l'explorateur de fichiers de Microsoft Windows de réaliser un aperçu des fichiers au format PDF. De ce fait, la vulnérabilité peut également être exploitée par les méthodes suivantes :
- lors de la sélection d'un fichier PDF exploitant cette vulnérabilité ;
- lors de l'exploration d'un répertoire avec un affichage en mode miniature des icônes.
De plus, il semblerait que cette vulnérabilité puisse être exploitée lors de l'affichage de l'infobulle lié à un fichier PDF malveillant dont les méta-données ont été spécialement construites.
Enfin, l'utilisation de services d'indexation automatique (comme WIS, Windows Indexing Services) pourrait déclencher l'exploitation de la vulnérabilité sur un fichier présent sur l'espace de stockage sans intervention particulière de l'utilisateur.
Solution
Se référer à la documentation des éditeurs afin d'obtenir les correctifs (cf. Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |
|---|---|---|---|
|
|
|||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Adobe Reader versions 9.x, 8.x et 7.x ;",
"product": {
"name": "PDF Reader",
"vendor": {
"name": "Foxit",
"scada": false
}
}
},
{
"description": "Xpdf versions ant\u00e9rieures \u00e0 la mise \u00e0 jour 3.02pl3.",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Adobe Acrobat Standard, Pro et Pro Extended, versions 9.x, 8.x et 7.x.",
"product": {
"name": "Acrobat",
"vendor": {
"name": "Adobe",
"scada": false
}
}
},
{
"description": "KDE versions ant\u00e9rieures \u00e0 la version 3.4.5-12 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Foxit",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nUne erreur dans diff\u00e9rents produits relative \u00e0 l\u0027interpr\u00e9tation des\nobjets encod\u00e9s au format JBIG2 dans des fichiers PDF permet \u00e0 un\nutilisateur de provoquer l\u0027arr\u00eat du logiciel (crash).\n\nElle permet \u00e9galement l\u0027ex\u00e9cution de code arbitraire sur le syst\u00e8me\nvuln\u00e9rable avec les droits de l\u0027utilisateur.\n\nL\u0027exploitation de la vuln\u00e9rabilit\u00e9 ne n\u00e9cessite pas n\u00e9cessairement :\n\n- l\u0027intervention de l\u0027utilisateur ;\n- l\u0027activation ou la d\u00e9sactivation du support du langage JavaScript.\n\n \n \n\nCertains codes d\u0027exploitation circulant actuellement sur l\u0027Internet sont\nreconnus par des antivirus sous divers noms\u00a0: Trojan.Pidief.E,\nBloodhound.PDF-6 (Symantec), Exploit-PDF.i (NAI, Mac Afee)...\n\n \n \n\nCertains lecteurs PDF installent une extension permettant \u00e0\nl\u0027explorateur de fichiers de Microsoft Windows de r\u00e9aliser un aper\u00e7u des\nfichiers au format PDF. De ce fait, la vuln\u00e9rabilit\u00e9 peut \u00e9galement \u00eatre\nexploit\u00e9e par les m\u00e9thodes suivantes :\n\n- lors de la s\u00e9lection d\u0027un fichier PDF exploitant cette vuln\u00e9rabilit\u00e9\n ;\n- lors de l\u0027exploration d\u0027un r\u00e9pertoire avec un affichage en mode\n miniature des ic\u00f4nes.\n\nDe plus, il semblerait que cette vuln\u00e9rabilit\u00e9 puisse \u00eatre exploit\u00e9e\nlors de l\u0027affichage de l\u0027infobulle li\u00e9 \u00e0 un fichier PDF malveillant dont\nles m\u00e9ta-donn\u00e9es ont \u00e9t\u00e9 sp\u00e9cialement construites.\n\nEnfin, l\u0027utilisation de services d\u0027indexation automatique (comme WIS,\nWindows Indexing Services) pourrait d\u00e9clencher l\u0027exploitation de la\nvuln\u00e9rabilit\u00e9 sur un fichier pr\u00e9sent sur l\u0027espace de stockage sans\nintervention particuli\u00e8re de l\u0027utilisateur.\n\n## Solution\n\nSe r\u00e9f\u00e9rer \u00e0 la documentation des \u00e9diteurs afin d\u0027obtenir les correctifs\n(cf. Documentation).\n",
"cves": [
{
"name": "CVE-2009-0658",
"url": "https://www.cve.org/CVERecord?id=CVE-2009-0658"
},
{
"name": "CVE-2009-0927",
"url": "https://www.cve.org/CVERecord?id=CVE-2009-0927"
}
],
"initial_release_date": "2009-03-11T00:00:00",
"last_revision_date": "2009-04-17T00:00:00",
"links": [
{
"title": "Mise \u00e0 jour Xpdf du 30 mars 2009 :",
"url": "ftp://ftp.foolabs.com/pub/xpdf/xpdf-3.02pl3.patch"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Red Hat RSHA-2009-0431 et RSHA-2009-430 du 16 avril 2009 :",
"url": "http://rhn.redhat.com/errata/RHSA-2009-0430.html"
},
{
"title": "Alerte CERTA-2009-ALE-001 du 20 f\u00e9vrier 2009:",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-001/"
},
{
"title": "Avis de s\u00e9curit\u00e9 Adobe apsa09-01 du 19 f\u00e9vrier 2009 :",
"url": "http://www.adobe.com/support/security/advisories/apsa09-01.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Red Hat RSHA-2009-0431 et RSHA-2009-430 du 16 avril 2009 :",
"url": "http://rhn.redhat.com/errata/RHSA-2009-0431.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Adobe apsb09-03 du 10 mars 2009 :",
"url": "http://www.adobe.com/support/security/bulletins/apsb09-03.html"
},
{
"title": "Document du CERTA CERTA-2009-ALE-001 du 20 f\u00e9vrier 2009 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-001/index.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Adobe apsb09-04 du 18 mars 2009\u00a0:",
"url": "http://www.adobe.com/support/security/bulletins/apsb09-04.html"
}
],
"reference": "CERTA-2009-AVI-094",
"revisions": [
{
"description": "version initiale ;",
"revision_date": "2009-03-11T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences au bulletin de s\u00e9curit\u00e9 APSB09-04 concernant les versions 7.x et 8.x ;",
"revision_date": "2009-03-20T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins Red Hat et Xpdf.",
"revision_date": "2009-04-17T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans l\u0027interpr\u00e9tation des documents PDF par diff\u00e9rents\nlecteurs permet \u00e0 un utilisateur malveillant d\u0027ex\u00e9cuter du code\narbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans l\u0027interpr\u00e9tation JBIG2 dans le format PDF",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Adobe APSB09-03 du 10 mars 2009",
"url": null
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Adobe APSB09-04 du 18 mars 2009",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…