Attention aux .PDF reçus en mail

Le
DePassage
J'extrapole, bien que la vague de spam avec des .PDF en pièce jointe
semble tarie, mais :


http://www.gnucitizen.org/blog/0day-pdf-pwns-windows


etko D. Petkov, le chercheur expert en sécurité qui avait découvert le
12 septembre dernier la faille Quicktime sous Firefox, récidive avec le
format PDF. Sur son blog, le chercheur affirme avoir trouvé une faille
critique qui pourrait mettre en danger le PC de l'utilisateur qui lira
le document PDF infecté sous Acrobat Reader d'Adobe.

Adobe « Il suffit simplement d'ouvrir un document PDF et de lire la page
intégrant le virus » explique Petkov. Le problème est vérifié et
confirmé avec Acrobat Reader 8.1 sous Windows XP SP2, et d'autres
versions pourraient bien sûr être concernées.

Heureusement, le bidouilleur refuse de publier le code d'exploitation de
la faille PDF avant qu'Adobe n'ait publié un patch comblant le trou de
sécurité en question. Il faut dire que cette faille est plutôt critique,
car le format PDF est l'un des plus répandus chez les utilisateurs,
notamment professionnels.

Selon un autre expert en sécurité qui a pu toucher au code de Petkov, la
faille en question est plus importante que les précédentes du même
genre, qui ne touchaient que certaines versions du lecteur PDF d'Adobe :
« cela affecte toutes les versions, c'est un problème architectural
inhérent à la manière dont les fichiers sont lus » explique Andrew
Storms, responsable sécurité chez nCircle Network Security.


Démonstration en PDF (nan je plaisante) en vidéo ici :

http://www.gnucitizen.org/projects/0day-pdf-pwns-windows/poc.wmv
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jacquouille la Fripouille
Le #1682085
*Bonjour DePassage*
Tu as pianoté sur ton clavier dans
:

J'extrapole, bien que la vague de spam avec des .PDF en pièce jointe
semble tarie, mais :


http://www.gnucitizen.org/blog/0day-pdf-pwns-windows


N'aboutit pas !


etko D. Petkov, le chercheur expert en sécurité qui avait découvert le
12 septembre dernier la faille Quicktime sous Firefox, récidive avec
le format PDF. Sur son blog, le chercheur affirme avoir trouvé une
faille critique qui pourrait mettre en danger le PC de l'utilisateur
qui lira le document PDF infecté sous Acrobat Reader d'Adobe.

Adobe « Il suffit simplement d'ouvrir un document PDF et de lire la
page intégrant le virus » explique Petkov. Le problème est vérifié et
confirmé avec Acrobat Reader 8.1 sous Windows XP SP2, et d'autres
versions pourraient bien sûr être concernées.

Heureusement, le bidouilleur refuse de publier le code d'exploitation
de la faille PDF avant qu'Adobe n'ait publié un patch comblant le
trou de sécurité en question. Il faut dire que cette faille est
plutôt critique, car le format PDF est l'un des plus répandus chez
les utilisateurs, notamment professionnels.

Selon un autre expert en sécurité qui a pu toucher au code de Petkov,
la faille en question est plus importante que les précédentes du même
genre, qui ne touchaient que certaines versions du lecteur PDF
d'Adobe : « cela affecte toutes les versions, c'est un problème
architectural inhérent à la manière dont les fichiers sont lus »
explique Andrew Storms, responsable sécurité chez nCircle Network
Security. ------------------------------------------------

Démonstration en PDF (nan je plaisante) en vidéo ici :

http://www.gnucitizen.org/projects/0day-pdf-pwns-windows/poc.wmv


N'aboutit pas non plus !

***

C'est une raison de plus d'utiliser Foxit Reader, bien plus léger que la
daube.
--
Jacquouille la Fripouille

DePassage
Le #1682084

http://www.gnucitizen.org/blog/0day-pdf-pwns-windows


N'aboutit pas !

Démonstration en PDF (nan je plaisante) en vidéo ici :

http://www.gnucitizen.org/projects/0day-pdf-pwns-windows/poc.wmv


N'aboutit pas non plus !


N'aboutissent plus

Cela fonctionnait ces derniers jours et meme aujourd'hui

Meme avec l'adresse IP ca ne fonctionne pas. Le serveur semble down (les
requetes n'aboutissent pas)


C'est une raison de plus d'utiliser Foxit Reader, bien plus léger que la
daube.


Je crois que tu n'as pas compris le problème... Mais bon sans le site
d'origine ceci explique peut etre cela


Nina Popravka
Le #1682078
On Sat, 22 Sep 2007 19:51:42 +0200, DePassage wrote:

Cela fonctionnait ces derniers jours et meme aujourd'hui


Oui, j'suis allée tout de suite après que tu aies donné le lien.
--
Nina

DePassage
Le #1682076
On Sat, 22 Sep 2007 19:51:42 +0200, DePassage wrote:

Cela fonctionnait ces derniers jours et meme aujourd'hui


Oui, j'suis allée tout de suite après que tu aies donné le lien.


Oufff ! Merci ! J'ai cru un moment que j'avais été la cible d'hallucinations

Bon ca mérite bien quelques paires de boots en pj :-)


Jacquouille la Fripouille
Le #1682075
*Bonjour DePassage*
Tu as pianoté sur ton clavier dans
:

On Sat, 22 Sep 2007 19:51:42 +0200, DePassage wrote:

Cela fonctionnait ces derniers jours et meme aujourd'hui


Oui, j'suis allée tout de suite après que tu aies donné le lien.


Oufff ! Merci ! J'ai cru un moment que j'avais été la cible
d'hallucinations

Bon ca mérite bien quelques paires de boots en pj :-)


Ça a bougé ! IE6 refuse de l'ouvrir avec un message d'injure. Par contre
ça s'ouvre avec Firefox.
Mais j'y bitte que dalle.
Ciao
--
Jacquouille la Fripouille



Jacquouille la Fripouille
Le #1682074
Ça a bougé ! IE6 refuse de l'ouvrir avec un message d'injure. Par
contre ça s'ouvre avec Firefox.
Mais j'y bitte que dalle.
Ciao


Mais je répète que pour ne pas subir les failles d'Acrobat Reader, il
faut utiliser Foxit Reader.
--
Jacquouille la Fripouille

Steph
Le #1682073
Le 23/09/2007 00:49, Jacquouille la Fripouille disait:
Ça a bougé ! IE6 refuse de l'ouvrir avec un message d'injure. Par contre
ça s'ouvre avec Firefox.


Perso ça me demande de choisir le programme pour .wmv ---> vlc donc

Mais j'y bitte que dalle.


L'ouverture du .pdf piégé permet de lancer calc.exe ou notepad.
Test ici: http://www.nthelp.com/test.pdf
Donc: désactiver Javascript dans Adobe Reader suffirait
(Édition/Préférences)

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé

Nina Popravka
Le #1682071
On Sun, 23 Sep 2007 02:07:28 +0200, Steph

Test ici: http://www.nthelp.com/test.pdf
Amusant...........

--
Nina

DePassage
Le #1682070
Le 23/09/2007 00:49, Jacquouille la Fripouille disait:
Ça a bougé ! IE6 refuse de l'ouvrir avec un message d'injure. Par contre
ça s'ouvre avec Firefox.


Perso ça me demande de choisir le programme pour .wmv ---> vlc donc


Ca passe aussi avec Media Player Classic et The KMPLayer :-)


Mais j'y bitte que dalle.


L'ouverture du .pdf piégé permet de lancer calc.exe ou notepad.
Test ici: http://www.nthelp.com/test.pdf
Donc: désactiver Javascript dans Adobe Reader suffirait
(Édition/Préférences)



Ce qui m'étonnes c'est que BitDefender a déja dans sa base cette faille.

"Cette page Internet a été bloquée par la protection en temps réel du
module Antivirus de BitDefender !
La page Web bloquée contenait des éléments infectés ou susceptibles
d'être infectés par un Virus. Votre système n'a PAS été infecté."

Idem pour McAfee et "Fortinet" suivant le site "virustotal" si on soumet
le .pdf

Il est vrai que la faille a un semblant avec celle déja trouvée du lien
Html etc au sein d'un PDF

Sinon le lecteur PDF a un impact, puisqu'en désactivant Bitdefender, je
peux lire avec "Sumatra" sans déclencher le piège.


Nina Popravka
Le #1682069
On Sun, 23 Sep 2007 10:51:44 +0200, DePassage wrote:

Sinon le lecteur PDF a un impact, puisqu'en désactivant Bitdefender, je
peux lire avec "Sumatra" sans déclencher le piège.


Probablement qu'il ne gère pas javascript, tout simplement.
--
Nina

Publicité
Poster une réponse
Anonyme