CVE-2024-4367

Exploitation de vulnerabilités dans PDF.js

Une faille de sécurité, identifiée sous le nom de CVE-2024-4367, a été découverte dans PDF.js, une bibliothèque d’affichage de documents PDF écrite en JavaScript. Cette vulnérabilité résulte d’une absence de vérification de type lors du traitement des polices, plus précisément pendant la compilation des tracés de glyphes pour les polices Type 1. Le problème se situe dans la méthode FontFaceObject.getPathGenerator, où les valeurs de la matrice de police issues des dictionnaires PDF ne sont pas correctement validées avant d’être utilisées dans la génération de code JavaScript.

L’exploitation réussie de cette faille permet à un attaquant d’exécuter du code JavaScript arbitraire dans le contexte de PDF.js. Les conséquences potentielles incluent l’espionnage de l’activité de l’utilisateur, le déclenchement de téléchargements non autorisés (y compris via des URL de type file://) et la divulgation des chemins d’accès aux fichiers PDF. Les applications web intégrant PDF.js pourraient être exposées à des attaques par script inter-sites (XSS) stockées.

Points Clés :

• Nature de la vulnérabilité : Absence de vérification de type lors de la compilation des tracés de glyphes pour les polices Type 1 dans PDF.js.
• Méthode affectée : FontFaceObject.getPathGenerator.
• Risque d’exploitation : Exécution de code JavaScript arbitraire.

Vulnérabilités :

• CVE-2024-4367 : Vulnérabilité dans PDF.js permettant l’exécution de code JavaScript arbitraire et potentiellement des attaques XSS stockées.

Recommandations :

• Mise à jour : Les utilisateurs de Firefox doivent passer à la version 126 ou ultérieure. Les utilisateurs de Firefox ESR doivent passer à la version 115.11 ou ultérieure. Les utilisateurs de Thunderbird doivent passer à la version 115.11 ou ultérieure.

Source