McAfee a déclaré qu'il a trouvé une vulnérabilité dans le logiciel de lecture PDF d'Adobe qui révèle quand et où un document PDF a été ouvert. En elle même, cette faille n'est pas un problème très grave dans la mesure où elle ne permet pas l'exécution de code à distance, a écrit Haifei Li de McAfee dans un billet de blog (http://blogs.mcafee.com/author/haifei-li). Mais McAfee considère que c'est un problème de sécurité et l'a notifié à Adobe. La faille affecte toutes les versions de Reader, dont la dernière, 11.0.2, a indiqué M. Li.

McAfee a récemment détecté des échantillons de PDF fort «inhabituels», a écrit le chercheur. Le spécialiste de la sécurité a noté certains détails clefs de ces vulnérabilités, mais sans les décrire précisément pour éviter d'encourager les actes malveillants. Le problème se produit lorsque quelqu'un lance un lien vers un autre fichier, ce qui appelle une API JavaScript. Le Reader d'Adobe avertit l'utilisateur quand il va faire appel à une ressource externe, comme un lien sur Internet.

Si la ressource externe n'existe pas, le message d'avertissement ne s'affiche pas, mais l'API renvoie une partie du trafic TCP, a écrit M. Li. En manipulant un deuxième paramètre avec une valeur spéciale, le comportement de l'API change et révèle certaines données. Cela pourrait inclure des informations telles que l'emplacement d'un document sur un système en appelant la valeur JavaScript « this.path », selon M. Li.

Une faille exploitable pour lancer des APT

«Des expéditeurs malveillants pourraient exploiter cette vulnérabilité pour recueillir des informations sensibles telles que l'adresse IP, le fournisseur de services Internet ou même une séquence de programmation», a écrit M. Li. « En outre, notre analyse suggère que plus d'informations pourraient être recueillies en appelant divers API PDF JavaScript».

Le chercheur suggère que le problème pourrait être utilisé pour la phase de reconnaissance généralement effectuée par les hackers. « Certaines personnes pourraient exploiter cette faille par simple curiosité pour savoir qui a ouvert les documents PDF, mais d'autres ne vont pas s'arrêter là », a écrit M. Li. "Une APT [menace persistante avancée] procède généralement en plusieurs étapes sophistiquées. La première étape est souvent la collecte d'informations sur la victime; cette vulnérabilité ouvre donc la porte ».

McAfee suggère aux utilisateurs d'Adobe Reader de désactiver JavaScript jusqu'à ce qu'un correctif soit publié.