Reader et faille 0-day : Adobe va attendre pour combler

Le par  |  12 commentaire(s)
Adobe Reader 8 icône

Malgré la publication d'un exploit, Adobe a décidé d'attendre le 12 janvier prochain pour combler une vulnérabilité de sécurité affectant Adobe Reader et Acrobat.

Adobe Reader 8 icôneAdobe a semble-t-il décidé de jouer la montre, ce qui peut être risqué pour l'utilisateur final mais l'éditeur à quelques arguments à faire valoir. En début de semaine, Adobe a confirmé l'existence  d'une vulnérabilité 0-day affectant les dernières versions 9.2 ( et antérieures ) d'Adobe Reader et Acrobat, et pour toutes les plateformes. Par la suite, un avis de sécurité en bonne et due forme a été publié.

L'information a été reprise par divers centres de vigilance et interventions informatiques dont le CERTA ( Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques ) pour la France qui écrit qu'une vulnérabilité non détaillée permet l'exécution de code arbitraire à distance par le biais d'un débordement de mémoire.

Xmco Partners, cabinet de conseil et d'audit en sécurité informatique, précise que la faille est due à une erreur lors de l'utilisation de la méthode JavaScript : Doc.media.newPlayer. L'exploitation s'effectue via un fichier PDF spécialement conçu proposé en pièce jointe d'un e-mail ou au travers d'une iframe sur des sites compromis. Un code exploit a été publié sous la forme d'un plugin pour le Framework Metasploit.

Pour Xmco Partners il y a donc urgence. Pour autant, Adobe ne fera pas exception à son prochain rendez-vous trimestriel de sécurité pour livrer son correctif. En adéquation avec le Patch Tuesday de Microsoft pour permettre aux administrateurs un déploiement plus pratique d'un ensemble de correctifs, celui pour Adobe Reader et Acrobat est attendu le 12 janvier 2010.

Selon Adobe, mettre aujourd'hui un maximum de ressources sur la correction de ladite vulnérabilité pourrait avoir un impact négatif sur la date de livraison de la prochaine fournée trimestrielle de rustines. Par ailleurs, avec la version 9.2 d'Adobe Reader ( et Acrobat ), il est plus simple de désactiver l'accès aux API JavaScript, ce que l'éditeur conseille de faire en tant que mesure de contournement ( depuis les Paramètres ). Pour les utilisateurs Windows, Adobe fournit également un fichier de registre afin de générer des clés pour blacklister l'exacte fonction JavaScript vulnérable.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #563901
De l'avis éclairés des contre-courantistes de chaque news sur les anti-virus, avoir un système à jour suffit amplement à votre sécurité.
Le #564031
Pour une fois que tu dis pas des conneries...
Le #564091
ça ne serait pas plus simple de désactiver par défaut le javascript des lecteurs PDF ??? qui utilise réellement le javascript dans les fichiers PDF ???
Le #564141
studviewer :

http://www.stdutility.com/stduviewer.html

souple, stable un lecteur de pdf simple
Le #564171
@ KerTiaM comment tu tiens un systeme "a jour" si les editeurs comme Adobe attendent quasi un mois pour fixer une faille deja exploitee ?? Tes antivirus y pourront rien (rappel un antivirus repere des signatures, donc il faut avoir eu des cobayes tout ca tout ca...).

bien content d'avoir vire AdaubeReader de mes machines.
PDF-xChange ou Sumatra font bien plus rapide
http://lifehacker.com/5328211/five-best-pdf-readers
Le #564221
SebXX ma phrase était volontairement ambigue, RDV à la prochaine news sur les anti-virus pour comprendre qui je visais
Le #564301
rdv pris aussi, ça me permettra de dire à sebXx que les av ne sont pas tous dédiés à la comparaison des signatures mais aussi à l'analyse heuristique et comportementale, activité suspecte...

Ps: Pas dur de savoir qui tu vises
Le #564441
KerTiaM >
« L'honnêteté : la plus rare aujourd'hui, c'est celle qui consiste à écouter et comprendre ce que dit vraiment l'autre ou l'adversaire, au lieu de réfuter une caricature. »
Claude Roy

J'ai rien contre les antivirus (ou leur news), je réfute juste l'idée qu'un antivirus est obligatoire et est en soit une protection efficace.

Toujours pas d'antivirus et toujours pas de problème. A chaque problème son palliatif (ici, désactiver le JS, chose que j'avais déjà faite avant que la fonction ne pose problème).

Attention, tu te DMZise.
Le #564721
Perso je préfère "A bove ante, ab asino retro, a stulto undique caveto " d'une part parce que le latin ça en jette toujours et ça permet de balancer des fions l'air de rien parce qu'au final peu les comprennent (la traduction littérale ne suffit généralement pas).

Je suppose que tu as déjà désactivé la prochaine option qui se révélera être le vecteur de la prochaine attaque et ceci pour tous tes logiciels. Peut-on profiter de la liste des prochains vecteurs ?
Nous avons tellement de logiciels qui "avalent" du contenu en direct d'internet, de manière directe ou indirecte (par des plugins au sens large) et nous gavons ces logiciels de contenu (pubs vérolés, iframe piégées , TIFF PDF png formés, javascript piégé... ) qu'au final nous ne maîtrisons rien.

Les bonnes pratiques ("Vanitas vanitatum et omnia vanitas") sont nécessaires mais non suffisantes. Se croire invulnérable (("Vanitas vanitatum et omnia vanitas" aussi) avec un antivirus ou un système d'exploitation confidentiel est illusoire également. Proposer un fichier .reg plutôt qu'une mise à jour via le système de mise a jour automatique est indigne.
Le #564731
Juste pour illustration, voila ce que ça donne pour Mac OS X

# Localisez dans le dossier Applications le logiciel Acrobat ou Acrobat Reader
# Avec un click droit afficher le contenu du paquet.
# ouvrez Content/MacOS/Preferences
# dupliquez le fichier "FeatureLockDown" de manière à le récupérer en cas de problème
# Ouvre le fichier "FeatureLockDown" avec TextEdit
# insérez la commande suivante juste avant les derniers ">>"
/JavaScriptPerms [ /c << /BlackList [ /t (DocMedia.newPlayer) ] >>]
# Sauvegardez. Votre logiciel est maintenant protégé contre la faille qui peut autrement provoquer une prise de contrôle à distance de votre machine.

Simple non ? ( ou alors desactiver TOUT javascript ce qui n'est pas une vraie solution )

( source http://www.macbidouille.com/news/2009/12/18/bloquer-la-derniere-faille-0-day-des-logiciels-adobe )
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]