actualité
 L'actualité informatique et multimédia
 Une ancienne faille d'Acrobat Reader refait parler d'elle
 Une histoire de vieilles casseroles
Faille de sécurité

adobe acrobat reader Une ancienne faille liée à Acrobat a refait surface il y a quelques jours. Il s’agit d’une faille qui touchait la version 7 du logiciel et qui avait été corrigée début décembre par Adobe. Certes la faille a été corrigée, mais elle est revenue sur le devant de la scène récemment après que deux chercheurs italiens en sécurité, Stefano Di Paola et Giorgio Fedon, ont démontré une autre exploitation possible.

L’éditeur de solutions de sécurité Symantec s’est intéressé à cette seconde exploitation possible de la faille qui tient à la formation d’adresses spéciales sur les sites web faisant appel à une fonction d’Acrobat nommée OpenParameters. Cette dernière permet d’attacher directement à une adresse des paramètres et des attributs pour qu’un fichier PDF soit ouvert d’une certaine manière dans un navigateur. Tous les navigateurs pour lesquels Adobe fournit un plug-in de lecture des PDF sont concernés.

La démonstration des Italiens ayant été faite avec Firefox 2.0, la rumeur a été propulsée, à tort, sous les feux de la rampe comme une faille du navigateur, ce qui est inexact. La fonction OpenParameters ne dépend d’aucun navigateur de manière spécifique, et la conception d’adresses à des fins malveillantes peut être utilisée aussi bien avec Internet Explorer qu’avec Opera. Le but final de l’exploitation est de permettre à un code JavaScript de s’exécuter sans que l’utilisateur soit évidemment informé.

adobe reader acrobat
Adobe Reader 8.0

La seconde utilisation de cette faille n’a pas encore été corrigée par Adobe, mais on ne sait à vrai dire pas si la firme corrigera réellement le problème. En effet, la faille peut de nouveau être exploitée mais est spécifique à la version 7 et aux versions antérieures. De fait, la mise à jour vers la version 8 corrige le problème, et cette installation est recommandée par plusieurs sites de sécurité comme seul moyen de ne plus être affecté par la faille.

Selon les sites, la faille est jugée de modérément critique à critique. La dangerosité vient de la proportion des utilisateurs potentiellement touchés : toutes les versions d’Acrobat Reader sont touchées en dehors de la plus récente (8.0), et tous les navigateurs gérant le plug-in de lecture PDF sont concernés.

Rédigée par le mardi 09 janvier 2007 à 10h51 (11179 lectures)
Source de l'INformation : Security Focus
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 14 commentaires dont 14 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

15 décembre 2006   Photoshop CS3 : premier contact et premiers tests
15 décembre 2006   Adobe Photoshop CS3 bêta est disponible aujourd'hui
13 décembre 2006   [MAJ] Vos GPU peuvent désormais accélérer les PDF
11 décembre 2006   Adobe pourrait lancer la première bêta de CS3 ce mois-ci
06 décembre 2006   PDF : Adobe lance la version 8 de Reader
01 décembre 2006   Adobe : failles critiques dans le contrôle ActiveX du PDF
22 novembre 2006   La bêta 2 de Flash 9 est disponible pour Linux
20 novembre 2006   Adobe pourrait poursuivre Microsoft : XPS vs PDF

Recherches relatives : adobe - reader - faille