La dernière mise à jour d'Adobe Reader et d'Adobe Acrobat ne fixerait pas complètement la vulnérabilité qui avait permis à des pirates d'exploiter les fonctions « / Launch », utilisées pour forcer l'exécution d'un autre logiciel à partir d'un document PDF. C'est Didier Stevens, le chercheur belge spécialisé en sécurité, celui qui avait découvert la faille en mars dernier, qui l'affirme. Le patch livré mardi par Adobe corrige 17 vulnérabilités dans les logiciels de visualisation et de création de fichiers PDF, dont ce problème de conception qui offrait aux attaquants un moyen facile d'exécuter des logiciels malveillants par les utilisateurs. Mais en partie seulement. Combinée à une autre astuce - Didier Stevens a montré comment un message d'alerte dans Reader pouvait tromper ultérieurement les utilisateurs - la faille pourrait encore être utilisée pour inciter les utilisateurs à exécuter des malware en les faisant passer pour des logiciels légitimes. Les pirates ont utilisé la technique décortiquée par le chercheur dans des attaques de masse pour infecter des PC sous Windows depuis la mi-avril.
Une liste noire comme palliatif
Dimanche, Didier Stevens a confirmé que le patch ne corrigeait pas cette faille. « Après quelques recherches, j'ai découvert qu'Adobe avait intégré une liste noire d'extensions pour contrer le déclenchement, mais que la fonctionnalité identifiait le fichier « 'cmd.exe' » comme étant de type « .exe' » et non comme .exe, » a-t-il écrit sur son blog le 4 juillet. « Les attaquants peuvent toujours détourner un document PDF et l'inciter à exécuter des logiciels malveillants, simplement en encadrant le nom du fichier par un guillemet simple ou double, » explique Didier Stevens.
Une faille confirmée par un chercheur vietnamien
Le Mahn Tung, chercheur à Bach Khoa Internetwork Security (BKIS), un département de l'Université de Technologie de Hanoi au Vietnam, a aussi remarqué qu'Adobe n'avait pas correctement corrigé ce bug. Sur son blog, Didier Stevens a même concocté une solution de contournement pour éviter les attaques qui parviennent à se soustraire à la liste noire d'Adobe. Sauf que sa solution de contournement implique la modification du Registry de Windows, une manipulation que la plupart des utilisateurs ne voudra pas réaliser.
Adobe peine à corriger la faille affectant les fichiers PDF
0
Réaction
La dernière mise à jour d'Adobe Reader et d'Adobe Acrobat ne fixerait pas complètement la vulnérabilité qui avait permis à des pirates d'exploiter les fonctions « / Launch », utilisées pour forcer l'exécution d'un autre logiciel à partir d'un document PDF.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire