Ancienne et nouvelle faille pour Adobe Reader et Acrobat

Le par  |  0 commentaire(s)
Adobe logo

Pour rappel, la vulnérabilité identifiée par la FrSIRT (French Security Incident Response Team) et confirmée par Adobe, affecte aussi bien Reader qu'Acrobat Standard et Professional jusqu'aux dernières versions 7.

Adobe logoPour rappel, la vulnérabilité identifiée par la FrSIRT (French Security Incident Response Team) et confirmée par Adobe, affecte aussi bien Reader qu'Acrobat Standard et Professional jusqu'aux dernières versions 7.0.8. Adobe avait annoncé fin novembre qu'un correctif était en cours de développement.

Cette vulnérabilité pourrait être exploitée à distance via un PDF malveillant, récupéré à partir d'un site internet ou en pièce jointe d'un email qui compromettrait le système de l'utilisateur.


Utilisateurs sous IE principalement menacés
C'est le composant affichant les documents PDF par le biais du navigateur Internet Explorer, qui est à l'origine du problème. Pour être précis, il s'agit du contrôle ActiveX AcroPDF qui ne gère pas correctement plusieurs méthodes et présente  donc une faille exploitable. Les autres navigateurs web (Firefox, Opéra,...) ne sont pas concernés, ce qui n'est pas le cas des surcouches utilisant le moteur d'IE.

Adobe vient d'annoncer que le correctif sera disponible la semaine prochaine. En attendant, vous avez deux solutions :

  • supprimer le fichier suivant dans le répertoire de Reader : AcroPDF.dll. (ce qui a comme conséquence de supprimer l'affichage de PDF via Internet Explorer)

  • mettre à jour Reader et Acrobat avec la huitième version actuellement disponible.

Nouvelle faille découverte
Une nouvelle faille vient d'être annoncée par Adobe pour les mêmes produits, cette dernière affectant aussi bien IE 6 que Firefox.

Il s'agit d'une vulnérabilité (cross-site scripting XSS) qui permet d'injecter un code arbitraire Javascript dans la session de votre navigateur, simplement en exécutant un simple fichier PDF.

Abobe recommande encore une fois de migrer vers les dernières versions 8.0.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]