Sécurité : mise à jour de Adobe Reader fortement conseillée

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Sécurité : mise à jour de Adobe Reader fortement conseillée

Publié le 23 octobre 2007 à 12:03 par Jérôme G.

Lire sur mobile

Adobe vient de mettre en ligne une version 8.1.1 de son lecteur PDF maison afin de corriger une vulnérabilité critique l'affectant. Une faille dite de l' URI dont souffrent plusieurs logiciels fonctionnant dans un environnement Windows (non Vista) avec IE7 installé.

Fin septembre, un chercheur en sécurité informatique découvrait une vulnérabilité affectant la dernière version d' Adobe Reader estampillée 8.1 sous Windows XP. Deux semaines plus tard, l'éditeur américain confirmait son existence et ce également dans des versions inférieures de Reader. Aujourd'hui, Adobe pare au plus pressé pour un logiciel très utilisé en milieu professionnel et publie une mise à jour de son lecteur afin de combler ladite vulnérabilité critique. Cette mise à jour 8.1.1 ne s'applique que pour Adobe Reader 8.1, les versions antérieures dont certaines encore très répandues comme la 7.0.9 n'en bénéficiant pas pour le moment.

La faille en question peut permettre à un attaquant distant de prendre le contrôle d'un système vulnérable en incitant un utilisateur pris pour cible à ouvrir un document PDF spécialement conçu, depuis ou à travers une page Web piégée. Plus spécifiquement, elle résulte d'une erreur présente au niveau du traitement d'arguments envoyés par l'intermédiaire de certains protocoles URI à l'instar de mailto, dans un environnement Windows avec le navigateur Internet Explorer 7 installé. Des spécificités qui ont fait s'interroger les gourous de la sécurité informatique sur la responsabilité à ce niveau de Microsoft, d'autant que des précédents similaires ont fait grand bruit ( Firefox, Skype, ... ).

La bonne nouvelle est que la firme de Redmond a fini par se décider à réagir et projette la publication d'un patch pour pallier ces problèmes récurrents de manipulation d' URI contenant le caractère %. Nos confrères de Vulnérabilité.com ont consacré un article à ce sujet expliquant que c'est l'installation de IE7 sous Windows XP ou serveur 2003 qui modifie la façon dont le système gère ces URI :

" Selon le scénario typique, lorsqu'un utilisateur clique sur un lien URI, l'application affichant ce lien décide de la marche à suivre. Pour des protocoles sûrs comme mailto: ou http:, cela se résume juste à vérifier le préfixe et lancer ensuite la procédure d'appel à la fonction API ShellExecute() de Windows shell32 qui les prendra en charge.

Avec IE6 installé, ShellExecute() passe l'URI à IE qui l'accepte et détermine en son sein sa validité, point final si elle n'est pas considérée comme telle (le navigateur est à ce point imbriqué dans le système). Avec Internet Explorer 7 installé, les choses sont un peu différentes et dans le cas d'une URI mal formée avec le caractère % rejetée par IE7, ShellExecute() tente d'arranger l'URI pour la rendre utilisable. C'est au cours de ce processus que le danger existe avec le risque d'exécution de commandes à distance. Sous Vista, pas de problème, IE7 rejette l'URI mal formée et ShellExecute() fait de même, mais cette fonction n'opère pas comme elle devrait sous Windows XP et Windows Server 2003 et nous pouvons donc la qualifier de vulnérable. "

D'ici la publication du correctif made in Microsoft, il est donc fort probable que d'autres vulnérabilités de type URI affectant des logiciels tiers soient révélées même si, point très important, aucune n'a pour le moment fait l'objet d'une exploitation.

Consulter le bulletin d'alerte d' Adobe (avec lien pour le téléchargement)