CVE-2024-4367
Mis à jour :
Exploitation de vulnérabilité dans PDF.js : Risques de code arbitraire et fuites d’informations
Une faille de sécurité (CVE-2024-4367) a été identifiée dans PDF.js, une librairie JavaScript de visualisation de documents PDF. Cette vulnérabilité découle d’une absence de vérification de type lors du traitement des polices, particulièrement durant la compilation des tracés de glyphes pour les polices de Type 1. Le problème se situe dans la méthode FontFaceObject.getPathGenerator, où les valeurs de la matrice de police issues des dictionnaires PDF ne sont pas correctement validées avant leur utilisation dans la génération de code JavaScript.
L’exploitation réussie de cette faille permet à un attaquant d’exécuter du code JavaScript arbitraire dans le contexte de PDF.js. Ceci peut mener à des actions malveillantes telles que l’espionnage des activités de l’utilisateur, le déclenchement de téléchargements non autorisés (y compris via des adresses file://), et la divulgation de chemins de fichiers PDF. Les applications web utilisant PDF.js pourraient ainsi être exposées à des attaques par Cross-Site Scripting (XSS) stocké.
Points Clés :
- Nature de la vulnérabilité : Absence de vérification de type dans le traitement des polices de Type 1.
- Localisation : Méthode
FontFaceObject.getPathGeneratordans PDF.js. - Impact potentiel : Exécution de code JavaScript arbitraire, espionnage, téléchargements non autorisés, fuites de chemins de fichiers.
- Type d’attaque : Cross-Site Scripting (XSS) stocké dans les applications web dépendant de PDF.js.
Vulnérabilités :
- CVE-2024-4367
Recommandations :
- Les versions affectées de Firefox sont antérieures à la version 126.
- Les versions affectées de Firefox ESR sont antérieures à la version 115.11.
- Les versions affectées de Thunderbird sont antérieures à la version 115.11.
Il est conseillé de mettre à jour les logiciels mentionnés vers les versions corrigées pour atténuer ce risque.