CERTA-2010-ALE-018
Vulnerability from certfr_alerte

Une vulnérabilité permettant l'exécution de code arbitraire à distance affecte des produits Adobe. L'éditeur a émis les correctifs pour les lecteurs PDF.

Description

Une vulnérabilité critique affecte des produits Adobe. Elle permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Elle est actuellement exploitée sur l'Internet dans des attaques ciblant les logiciels Adobe Acrobat et au moyen de documents PDF ayant du contenu Flash.

Contournement provisoire

Il est possible de supprimer ou interdire l'accès au composant authplay.dll. Cela empêchera l'exécution du contenu Flash et provoquera une erreur lors de l'ouverture de documents PDF ayant un tel contenu.

Il est aussi possible d'utiliser un logiciel alternatif en attendant la publication d'un correctif.

Le 04 novembre 2010, Adobe a publié une mise à jour de son lecteur Adobe Flash Player corrigeant cette vulnérabilité. Les applications Adobe Reader et Adobe Acrobat restaient vulnérables.

Solution

Le 04 novembre 2010, Adobe a publié une mise à jour de son lecteur Adobe Flash Player corrigeant cette vulnérabilité.

Les versions 9.4.1 d'Adobe Reader et d'Acrobat, publiées le 16 novembre 2010, résolvent ce problème.

La publication du correctif d'Acrobat sur plateforme Unix est annoncée pour le 30 novembre 2010.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Adobe Acrobat Adobe Flash Player 10.1.95.2 et les versions antérieures sur les systèmes Android ;
Adobe Acrobat le composant authplay.dll contenu dans les versions 9.4 et antérieures de Adobe Acrobat et Reader.
Adobe Acrobat Adobe Flash Player 10.1.85.3 et les versions antérieures sur les systèmes Windows, Macintosh, Linux et Solaris ;
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Adobe Flash Player 10.1.95.2 et les versions ant\u00e9rieures sur les syst\u00e8mes Android ;",
      "product": {
        "name": "Acrobat",
        "vendor": {
          "name": "Adobe",
          "scada": false
        }
      }
    },
    {
      "description": "le composant authplay.dll contenu dans les versions 9.4 et ant\u00e9rieures de Adobe Acrobat et Reader.",
      "product": {
        "name": "Acrobat",
        "vendor": {
          "name": "Adobe",
          "scada": false
        }
      }
    },
    {
      "description": "Adobe Flash Player 10.1.85.3 et les versions ant\u00e9rieures sur les syst\u00e8mes Windows, Macintosh, Linux et Solaris ;",
      "product": {
        "name": "Acrobat",
        "vendor": {
          "name": "Adobe",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2010-11-18",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 critique affecte des produits Adobe. Elle permet \u00e0 une\npersonne malintentionn\u00e9e d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance. Elle\nest actuellement exploit\u00e9e sur l\u0027Internet dans des attaques ciblant les\nlogiciels Adobe Acrobat et au moyen de documents PDF ayant du contenu\nFlash.\n\n## Contournement provisoire\n\nIl est possible de supprimer ou interdire l\u0027acc\u00e8s au composant\nauthplay.dll. Cela emp\u00eachera l\u0027ex\u00e9cution du contenu Flash et provoquera\nune erreur lors de l\u0027ouverture de documents PDF ayant un tel contenu.\n\nIl est aussi possible d\u0027utiliser un logiciel alternatif en attendant la\npublication d\u0027un correctif.\n\nLe 04 novembre 2010, Adobe a publi\u00e9 une mise \u00e0 jour de son lecteur Adobe\nFlash Player corrigeant cette vuln\u00e9rabilit\u00e9. Les applications Adobe\nReader et Adobe Acrobat restaient vuln\u00e9rables.\n\n## Solution\n\nLe 04 novembre 2010, Adobe a publi\u00e9 une mise \u00e0 jour de son lecteur Adobe\nFlash Player corrigeant cette vuln\u00e9rabilit\u00e9.\n\nLes versions 9.4.1 d\u0027Adobe Reader et d\u0027Acrobat, publi\u00e9es le 16 novembre\n2010, r\u00e9solvent ce probl\u00e8me.\n\nLa publication du correctif d\u0027Acrobat sur plateforme Unix est annonc\u00e9e\npour le 30 novembre 2010.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2010-3654",
      "url": "https://www.cve.org/CVERecord?id=CVE-2010-3654"
    }
  ],
  "initial_release_date": "2010-10-28T00:00:00",
  "last_revision_date": "2010-11-18T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe APSB10-26 du 04 novembre 2010 :",
      "url": "http://www.adobe.com/support/security/bulletins/apsb10-26.html"
    },
    {
      "title": "Alerte de s\u00e9curit\u00e9 Adobe APSA10-05 du 28 octobre 2010 :",
      "url": "http://www.adobe.com/support/security/advisories/apsa10-05.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe APSB10-28 du 16 novembre 2010 :",
      "url": "http://www.adobe.com/support/security/bulletins/apsb10-28.html"
    },
    {
      "title": "Document du CERTA CERTA-2010-AVI-551 du 17 novembre 2010 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-551/index.html"
    }
  ],
  "reference": "CERTA-2010-ALE-018",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2010-10-28T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Adobe APSB10-26 et modification des contournements provisoires.",
      "revision_date": "2010-11-05T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Adobe APSB10-28.",
      "revision_date": "2010-11-18T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 permettant l\u0027ex\u00e9cution de code arbitraire \u00e0 distance\naffecte des produits Adobe. L\u0027\u00e9diteur a \u00e9mis les correctifs pour les\nlecteurs PDF.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Adobe Flash Player, Adobe Reader et Acrobat",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Adobe APSA10-05 du 28 octobre 2010",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.