Sécurité : mise à jour de Adobe Reader fortement conseillée

Le par  |  2 commentaire(s)
Adobe PDF - Portable Document Format

Adobe vient de mettre en ligne une version 8.1.1 de son lecteur PDF maison afin de corriger une vulnérabilité critique l'affectant. Une faille dite de l' URI dont souffrent plusieurs logiciels fonctionnant dans un environnement Windows (non Vista) avec IE7 installé.

Adobe pdf portable document formatFin septembre, un chercheur en sécurité informatique découvrait une vulnérabilité affectant la dernière version d' Adobe Reader estampillée 8.1 sous Windows XP. Deux semaines plus tard, l'éditeur américain confirmait son existence et ce également dans des versions inférieures de Reader. Aujourd'hui, Adobe pare au plus pressé pour un logiciel très utilisé en milieu professionnel et publie une mise à jour de son lecteur afin de combler ladite vulnérabilité critique. Cette mise à jour 8.1.1 ne s'applique que pour Adobe Reader 8.1, les versions antérieures dont certaines encore très répandues comme la 7.0.9 n'en bénéficiant pas pour le moment.

La faille en question peut permettre à un attaquant distant de prendre le contrôle d'un système vulnérable en incitant un utilisateur pris pour cible à ouvrir un document PDF spécialement conçu, depuis ou à travers une page Web piégée. Plus spécifiquement, elle résulte d'une erreur présente au niveau du traitement d'arguments envoyés par l'intermédiaire de certains protocoles URI à l'instar de mailto, dans un environnement Windows avec le navigateur Internet Explorer 7 installé. Des spécificités qui ont fait s'interroger les gourous de la sécurité informatique sur la responsabilité à ce niveau de Microsoft, d'autant que des précédents similaires ont fait grand bruit ( Firefox, Skype, ... ).

La bonne nouvelle est que la firme de Redmond a fini par se décider à réagir et projette la publication d'un patch pour pallier ces problèmes récurrents de manipulation d' URI  contenant le caractère %. Nos confrères de Vulnérabilité.com ont consacré un article à ce sujet expliquant que c'est l'installation de IE7 sous Windows XP ou serveur 2003 qui modifie la façon dont le système gère ces URI :

" Selon le scénario typique, lorsqu'un utilisateur clique sur un lien URI, l'application affichant ce lien décide de la marche à suivre. Pour des protocoles sûrs comme mailto: ou http:, cela se résume juste à vérifier le préfixe et lancer ensuite la procédure d'appel à la fonction API ShellExecute() de Windows shell32 qui les prendra en charge.

Avec IE6 installé, ShellExecute() passe l'URI à IE qui l'accepte et détermine en son sein sa validité, point final si elle n'est pas considérée comme telle (le navigateur est à ce point imbriqué dans le système). Avec Internet Explorer 7 installé, les choses sont un peu différentes et dans le cas d'une URI mal formée avec le caractère % rejetée par IE7, ShellExecute() tente d'arranger l'URI pour la rendre utilisable. C'est au cours de ce processus que le danger existe avec le risque d'exécution de commandes à distance. Sous Vista, pas de problème, IE7 rejette l'URI mal formée et ShellExecute() fait de même, mais cette fonction n'opère pas comme elle devrait sous Windows XP et Windows Server 2003 et nous pouvons donc la qualifier de vulnérable. "

D'ici la publication du correctif made in Microsoft, il est donc fort probable que d'autres vulnérabilités de type URI  affectant des logiciels tiers soient révélées même si, point très important, aucune n'a pour le moment fait l'objet d'une exploitation.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #188669
Corrigé !
Je resume : faites une sauvegarde votre base de registre au cas ou, puis aller ici :
HKEY_LOCAL_MACHINESOFTWAREPoliciesAdobeAcrobat Reader8.0FeatureLockdowncDefaultLaunchURLPerms

La clé à modifier est : tSchemePerms

Valeur par défaut de la chaîne : version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:3|file:1

Il faut changer à la fin de la chaine la valeur de la variable mailto qui est "mailto:2" par "mailto:3" (ce que recommande Adobe)
Le #188722
Le plus simple est d'utiliser un autre navigateur qu'IE7 (Firefox, opéra, ...)
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]