CVE-2024-4367

Impact des erreurs de validation des polices dans PDF.js

Une faille de sécurité (CVE-2024-4367) a été identifiée dans la bibliothèque PDF.js, un lecteur de documents PDF basé sur JavaScript. L’exploitation de cette vulnérabilité permet à un attaquant d’exécuter du code JavaScript arbitraire dans le contexte de PDF.js.

Les conséquences potentielles incluent l’espionnage des activités des utilisateurs, le déclenchement de téléchargements non autorisés (y compris via les URL file://) et la fuite de chemins de fichiers PDF. Les applications web intégrant PDF.js pourraient être sujettes à des attaques par Cross-Site Scripting (XSS) stocké.

Cette vulnérabilité concerne les versions de Firefox antérieures à 126, les versions de Firefox ESR antérieures à 115.11, ainsi que les versions de Thunderbird antérieures à 115.11.

Points clés :

• Nature de la vulnérabilité : Absence de vérification de type lors du traitement des polices (spécifiquement pour les polices Type 1 lors de la compilation du chemin des glyphes).
• Cause : Les valeurs de la matrice de police extraites des dictionnaires PDF ne sont pas correctement validées avant leur utilisation dans la génération de code JavaScript par la méthode FontFaceObject.getPathGenerator.
• Vecteur d’attaque : Exploitation via un fichier PDF spécialement conçu.
• Impact : Exécution de code JavaScript arbitraire.
• Risques potentiels : Espionnage, téléchargements non autorisés, fuite d’informations, attaques XSS.

Vulnérabilités :

• CVE-2024-4367 : Vulnérabilité dans PDF.js due à une mauvaise gestion des polices Type 1 dans la méthode FontFaceObject.getPathGenerator.

Recommandations :

• Mettre à jour Firefox vers la version 126 ou ultérieure.
• Mettre à jour Firefox ESR vers la version 115.11 ou ultérieure.
• Mettre à jour Thunderbird vers la version 115.11 ou ultérieure.

Source