Computer Emergency Response Team - Industrie Services et Tertiaire



			Avis et Alertes publics

			Articles du Cert-IST

			Liens utiles

			Presse - Evénements







		Version imprimante

Accueil | Ressources | Avis et Alertes publics | Dangers potentiels

Référence :	CERT-IST/DG-2008.004
Version :	1.0
Date de la version :	11 Février 2008

Classification de la vulnérabilité

Risque :

Elevé

Conséquence :

Accès au système

Catégorie de la vulnérabilité :

Débordement de pile

Niveau de confiance :

Faille officielle

Niveau de connaissance de l'attaquant :

Connaisseur

Moyen nécessaire à l'attaquant :

Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)

Plate(s)-forme(s) impactée(s) :

Systèmes Microsoft Windows

Logiciel(s) impacté(s) :

Adobe Reader versions 8.1.1 et antérieures

Remarques :

Ces fichiers PDF malicieux n'exploitent pour le moment que les plates-formes Windows. D'autres plates-formes pourraient être touchées dans le futur.

Il a été confirmé que les versions "Adobe Reader 7.0.9" étaient également vulnérables.

Adobe ne prévoit pas de fournir de mise à jour pour les anciennes versions "d'Adobe Reader" (versions "7.x" et antérieures).

Liste des produits impactés

Description

Contexte de publication :

Le problème décrit dans ce "Danger Potentiel" a été signalé le samedi 09/02/2008 aux abonnés du service "Veille 7/7".

Nature du problème :

Plusieurs sources crédibles ont signalé la diffusion sur Internet de fichiers PDF malicieux qui tentent d'infecter les postes des internautes. Les PDF malicieux exploitent un débordement de pile corrigé récemment par la version 8.1.2 "d'Adobe Reader". Cette vulnérabilité (CVE-2007-5659) est l'une des vulnérabilités décrites dans l'avis CERT-IST/AV-2008.048.

Les vecteurs de propagation de ces fichiers PDF malicieux sont peu connus pour le moment. Ils pourraient être :

téléchargés volontairement par l'internaute sur un forum ou un site web,

envoyés par email,

déclenchés automatiquement lors de la visite d'un site web malveillant.

La propagation de ces fichiers PDF malicieux est préoccupante car :

Ils ne sont actuellement détectés par aucun anti-virus.

La mise à jour fournie par l'éditeur Adobe ne date que de la semaine dernière.

Il n'existe pas de correctif pour les versions antérieures "d'Adobe Reader".

C'est la raison pour laquelle nous émettons ce message de "Danger Potentiel". Il n'est pas non plus à écarter que d'autres fichiers PDF soient diffusés par email ou sur Internet.

Nota : Les postes sur lesquels la mise à jour "Adobe Reader 8.1.2" a été installée ne sont pas vulnérables à cette attaque.

Analyse détaillée :

Selon certaines sources les fichiers PDF :

auraient été mis à disposition sur un forum italien depuis le 20 janvier 2008, date à laquelle aucun correctif n'existait,

s'appelleraient "1.pdf" ou "b.pdf",

provoqueraient le téléchargement d'une variante du Cheval de Troie "Zonebac" depuis le site d'adresse IP 85.17.221.2 (site fermé depuis).

La vulnérabilité (CVE-2007-5659) exploitée est de type "débordement de mémoire" (stack overfow) dans une méthode Javascript de "Adobe Reader". Elle permet à un attaquant distant d'exécuter du code arbitraire avec les privilèges de l'utilisateur ouvrant le fichier avec une version vulnérable "d'Adobe Reader".

Solution

01 - Mettre à jour Adobe Reader avec la version 8.1.2 ou 7.1.0

Adobe Reader 7.1.0
- http://www.adobe.com/products/acrobat/readstep2_allversions.html

Adobe Reader 8.1.2
- http://www.adobe.com/products/acrobat/readstep2.html

Identifiant(s) du problème

CVE: CVE-2007-5659

Documentation additionnelle

Avis de sécurité de Cert-IST AV-2008.048 du 7 février 2008
- https://wws.cert-ist.com/fast-cgi/AV/Avis.cgi?lang=fra&ref=CERT-IST/AV-2008.048
Avis de sécurité de SANS 3958 du 9 février 2008
- http://isc.sans.org/diary.html?storyid=3958

Historique

Version

Commentaire

Date

1.0

Création du danger potentiel

11 Février 2008



Copyright © 1999-2012 Cert-IST \| Mentions légales \| Plan du site