XMCO : Le code d’exploitation de la vulnérabilité 0-day concernant Adobe Reader et Acrobat est maintenant disponible sur Internet
décembre 2009 par XMCO PARTNERS
root / modules / exploits / windows / fileformat / adobe_media_newplayer.rb
– Date : 17 Decembre 2009
– Plateforme : Windows
– Programmes :
* Adobe Acrobat
* Adobe Reader
– Gravité : Urgente
– Exploitation : Avec un fichier malicieux
– Dommage : Accès au système
– Description :
Un code permettant d’exploiter la récente vulnérabilité 0-day sur les visionneuses PDF Adobe Reader et Acrobat vient d’être publié au sein du Framework d’exploitation Metasploit.
La faille de sécurité résulte d’une mauvaise gestion de la mémoire lors de l’utilisation de la méthode JavaScript "Doc.media.newPlayer".
Un attaquant distant peut exploiter cette faille de sécurité en incitant un utilisateur à visiter une page web malicieuse chargeant automatiquement le fichier PDF malicieux ou en l’incitant à ouvrir le fichier PDF.
Une vidéo de l’exploitation de cette vulnérabilité est disponible sur le site Offensive-Computing [2].
Nous vous rappelons que cette vulnérabilité ne sera surement pas corrigée avant le 12 janvier (voir bulletin nº 1260960625), les utilisateurs seront donc exposés à cette menace critique tant que leur visionneuse permettra d’exécuter du code JavaScript (fonctionnalité activée par défaut).
De nombreux PDF malicieux sont diffusés au travers de balises IFRAME sur des sites préalablement compromis. Ces fichiers PDF sont également être joints à des emails.
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Vulnérable :
* Adobe Acrobat versions 9.2 et antérieures
* Adobe Reader versions 9.2 et antérieures
D’autres versions pourraient être vulnérables
– Référence :
[2] http://www.offensive-security.com/videos/adobe-0day/index.html
[3] http://xmcopartners.com/veille/client/index.xmco?nv=1260960625
[4] http://xmcopartners.com/veille/client/index.xmco?nv=1260869938
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324
– Correction :
Adobe prévoit de proposer un correctif à ce 0-day le 12 janvier 2010.
8 En attendant ce correctif, il est possible de contourner ce problème en désactivant le JavaScript au sein des visionneuses Adobe Reader et Acrobat en désactivant l’exécution de code JavaScript :
8 Edition > Preferences > catégorie JavaScript > décocher l’option "Activer Acrobat JavaScript"
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1261040881