Patatras ! L'extension Adobe Reader insidieuse était vulnérable

Le par  |  21 commentaire(s)
Facepalm

L'extension pour Google Chrome installée automatiquement et discrètement avec la mise à jour Adobe Acrobat et Reader n'arrange pas son cas. Elle était affectée par une vulnérabilité de sécurité.

Avec sa dernière mise à jour d'Adobe Acrobat et Reader, Adobe a intégré de manière discrète une extension pour Google Chrome sur Windows. Dénommée Adobe Acrobat, cette extension est installée de manière automatique, même si elle n'est toutefois pas activée par défaut. Le navigateur signale en effet sa présence.

L'extension permet d'ouvrir les fichiers PDF dans l'application Acrobat Reader sur l'ordinateur, convertir une page Web en un fichier PDF. Plusieurs utilisateurs ont trouvé assez dérangeante cette installation automatique qui se fait de manière relativement insidieuse, ainsi que l'envoi de données d'usage. Ils ont une raison de plus de pester.

Chercheur en sécurité chez Google (Project Zero qui réunit des hackers d'élite), Tavis Ormandy a une nouvelle fois sévi. Titillé par tout ce tumulte, il a examiné le code de l'extension controversée et a mis au jour une vulnérabilité de type cross-site scripting (injection de code indirecte).

Le hacker pointe du doigt un problème d'exécution de code JavaScript et une faille basée sur le DOM (une vulnérabilité côté client). Pas une vulnérabilité critique mais tout de même un sérieux avertissement, Tavis Ormandy insistant sur le fait que la mise à jour d'Adobe force l'installation de l'extension pour Google Chrome.

En l'occurrence, Adobe a réagi très rapidement en comblant presque dans la foulée ladite vulnérabilité via une mise à jour de l'extension. Chercheur en sécurité, Graham Cluley fronce tout de même les sourcils.

Pour Tripwire, il écrit qu'à chaque fois que des logiciels supplémentaires sont ajoutés à l'ordinateur, la surface d'attaque potentielle est augmentée. " Si vous n'en avez pas besoin, ne les installez pas. Et méfiez-vous des logiciels qui sont installés sans votre permission ou que les éditeurs intègrent dans leurs logiciels contre vos souhaits. "

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1946182
L'image choisie pour l'article est bien choisie
Le #1946186


what else ? ...
Le #1946191
Pfffffffff...
Le #1946195
L'important c'est que la faille soit désormais bouchée. Par contre, je ne comprends pas qu'un navigateur open source comme Chromium (et non Chrome) possède des parties de code propriétaires et fermées ?
N'existe-t-il pas des lecteurs de PDF libres qui réjouiraient toute la communauté ?
Le #1946226
De pire en pire Adobe
Le #1946229
Safirion a écrit :

L'important c'est que la faille soit désormais bouchée. Par contre, je ne comprends pas qu'un navigateur open source comme Chromium (et non Chrome) possède des parties de code propriétaires et fermées ?
N'existe-t-il pas des lecteurs de PDF libres qui réjouiraient toute la communauté ?


Une extension de Foxit Reader par exemple compatible Firefox, Google Chrome etc...
Le #1946231
Barbak a écrit :

Safirion a écrit :

L'important c'est que la faille soit désormais bouchée. Par contre, je ne comprends pas qu'un navigateur open source comme Chromium (et non Chrome) possède des parties de code propriétaires et fermées ?
N'existe-t-il pas des lecteurs de PDF libres qui réjouiraient toute la communauté ?


Une extension de Foxit Reader par exemple compatible Firefox, Google Chrome etc...


Ca reste propriétaire : https://www.foxitsoftware.com/fr/products/pdf-reader/eula.html
Le #1946232
Safirion a écrit :

Barbak a écrit :

Safirion a écrit :

L'important c'est que la faille soit désormais bouchée. Par contre, je ne comprends pas qu'un navigateur open source comme Chromium (et non Chrome) possède des parties de code propriétaires et fermées ?
N'existe-t-il pas des lecteurs de PDF libres qui réjouiraient toute la communauté ?


Une extension de Foxit Reader par exemple compatible Firefox, Google Chrome etc...


Ca reste propriétaire : https://www.foxitsoftware.com/fr/products/pdf-reader/eula.html


Ah ok
Le #1946267
Adobe est responsable mais conserve une forme d'impunité pour ses comportements et la pietre qualité de ses produits
Anonyme
Le #1946268
Safirion a écrit :

L'important c'est que la faille soit désormais bouchée. Par contre, je ne comprends pas qu'un navigateur open source comme Chromium (et non Chrome) possède des parties de code propriétaires et fermées ?
N'existe-t-il pas des lecteurs de PDF libres qui réjouiraient toute la communauté ?


SumatraPDF
Suivre les commentaires
Poster un commentaire
Anonyme