Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Une nouvelle faille 0-day dans le lecteur PDF Reader d’Adobe

Prudence ou utilisation d'un lecteur tiers

Une nouvelle faille 0-day dans le lecteur PDF Reader d'Adobe

Le 13 février 2013 à 16h49

Des chercheurs en sécurité ont découvert une nouvelle faille dans le client Reader d’Adobe, utilisé pour la lecture des PDF. Problème, cette brèche est déjà activement exploitée.

 

La nouvelle faille a été découverte par la société FireEye. Cette dernière indique que l’exploitation déjà active a été trouvée sous la forme d’un document malveillant spécialement conçu pour. À son ouverture sous Windows, deux fichiers DLL sont utilisés. Le premier pour afficher un faux message d’erreur ainsi qu’un faux document PDF, tandis que le second ouvre en arrière-plan une connexion vers un domaine distant.

 

Puisque cette faille est déjà activement exploitée, cela signifie que les utilisateurs se servant d’Adobe Reader courent un risque potentiel. Toutes les dernières moutures des branches supportées, à savoir les versions 9.5.3, 10.1.5 et 11.0.1, sont concernées. De fait, plusieurs conseils seront utiles.

 

D’une part, l’utilisateur devra prendre soin de contrôler la source d’un PDF qu’on lui envoie : mieux vaut n’ouvrir que ceux dont il est absolument certain de la provenance. D’autre part, il est évidemment possible d’utiliser un client de lecture tiers. On pourra par exemple se rabattre sur FoxIt, par ailleurs très léger. Notez également que Firefox intégrera bientôt son propre lecteur PDF, entièrement créé depuis des technologies du web (HTML5/JavaScript). Enfin, il reste conseillé de désactiver le plug-in Reader dans le navigateur utilisé.

 

FireEye indique avoir déjà prévenu Adobe, la société enquêtant actuellement sur le problème.

Commentaires (46)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







eternal_darkness a écrit :



Moins de failles exploitables, car les spécifications PDF comprennent pas mal de fonctionnalités optionnelles. Donc moins de fonctionnalités implémentées -> moins de vecteurs d’attaque.









Bah nan tu penses :



http://www.clubic.com/telecharger/pdf/actualite-536130-foxit-reader-comble-faille-securite.html





<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







psn00ps a écrit :



Ca se voit que tu n’as jamais ouvert de PDF sur PC INpact, toi <img data-src=" />







tu considère pcinpact comme une source inconnu ?


votre avatar







Eagle1 a écrit :



tu considère pcinpact comme une source inconnu ?





<img data-src=" /> Ofc. Les PDF référencés dans les news viennent de sites tiers.


votre avatar







psn00ps a écrit :



<img data-src=" /> Ofc. Les PDF référencés dans les news viennent de sites tiers.







comme j’ai dit plus haut quand je dis source inconnu c’est plutôt le mail bizarre dans la boîte au lettre…



un pdf de la hadopi ou de sfr, c’est une source connu…


votre avatar







Eagle1 a écrit :



comme j’ai dit plus haut quand je dis source inconnu c’est plutôt le mail bizarre dans la boîte au lettre…



un pdf de la hadopi ou de sfr, c’est une source connu…





Ce qui fait que le phishing marche si bien.



Prochain envoi de malwares :

Veuillez remplir le PDF ci-joint afin de nous donner votre avis sur la qualité du réseau SFR. 1h de communication offerte aux 1000 premiers avis !


votre avatar







psn00ps a écrit :



Ce qui fait que le phishing marche si bien.



Prochain envoi de malwares :

Veuillez remplir le PDF ci-joint afin de nous donner votre avis sur la qualité du réseau SFR. 1h de communication offerte aux 1000 premiers avis !







ça c’est le genre d’email suspect…

ça n’a rien a voir avec un pdf partager par pc inpact, trouver sur le site officiel de sfr.


votre avatar







Eagle1 a écrit :



ça c’est le genre d’email suspect…

ça n’a rien a voir avec un pdf partager par pc inpact, trouver sur le site officiel de sfr.





C’est toi qui a suggéré hadopi/sfr. <img data-src=" />



Si le message est posté sur le forum SFR, amha on n’y verra que du feu.


votre avatar







lekillerderpg a écrit :



j’interdis toute connexion de pdf reader à internet via mon firewall logiciel



suis-je protegé de ces failles<img data-src=" />







Pas forcément. Si elle permet l’exécution de code, il y a possibilité de créer un nouveau processus qui ne sera pas identifié comme “adobe reader”.


votre avatar

Pourquoi être encore étonné ?… <img data-src=" />

votre avatar







RBoudin a écrit :



Pas forcément. Si elle permet l’exécution de code, il y a possibilité de créer un nouveau processus qui ne sera pas identifié comme “adobe reader”.







alors là, mon firewall dirait qu’un nouveau processus ou un processus modifié tenterait qqchose


votre avatar







lekillerderpg a écrit :



alors là, mon firewall dirait qu’un nouveau processus ou un processus modifié tenterait qqchose







Sauf que les pare-feu ne sont pas INfaillible non plus <img data-src=" />


votre avatar







RBoudin a écrit :



Autre bonne alternative : SumatraPDF





+1

Bon ensuite, il n’est probablement pas exempt de faille de sécurité.


votre avatar

Vive les lecteurs libres !

www.pdfreaders.org

votre avatar







brazomyna a écrit :



Tiens, pas de tollé pour demander l’extermination d’Adobe Reader de la surface du web, comme pour le plugin Java ?



Deux poids deux mesures ?





Rien n’oblige à utiliser Adobe Reader pour lire des pdf.


votre avatar







Winderly a écrit :



Rien n’oblige à utiliser Adobe Reader pour lire des pdf.





Rien n’oblige à utiliser oracle-jre comme VM Java non plus <img data-src=" />


votre avatar

La fausse bonne idée est de désactiver le javascript dans acrobat reader.

J’ai déjà essayé de faire tourner acrobat reader sans javascript, c’est catastrophique.

votre avatar







Khalev a écrit :



Tu fais comment quand c’est comme ça? Tu lances une machine virtuelle à chaque pièce jointe à ouvrir? Ou alors tu envoies ton chef bouler, c’est sympa aussi.







Oui.



Ou alors, comme moi, tu milites pour que les vendeurs de système d’exploitation arrêtent de faire des évolutions graphiques kikoolol et travaillent plutôt sur l’isolation/sandboxing de l’espace de travail. En 2013, je ne vois pas de raison pour qu’un OS laisse un viewer de documents accéder à des données confidentielles, et encore moins le laisse ouvrir des connexions http.


votre avatar

Et sinon il y a la version metro de adobe Reader pour Windows 8 qui n’est pas vulnérable.

par contre comme sur toutes les versions smartphone/tablettes de adobe reader, il manque des fonctionnalités comme le support des formulaires.





Bon sinon, je suis ravis de constater que l’ajout d’une sandbox depuis la v10 du Reader fut au final très utile





c’est utile, mais ce n’est dispo que sur vista/7/8.

et oui, parfois les hackers arrivent a contourner les sandbox, mais pour autant ça reste de bons moyens de protection une fois les failles de contournement corrigées

après tout même ie9/win7 et chrome ont eu leur sandbox contournée à plusieurs reprises (ie10 pas encore).



au passage, la version win8/metro de adobe reader utilise la sandbox de winRT qui est plus efficace que celle d’ adobe reader desktop.

votre avatar



Ou alors, comme moi, tu milites pour que les vendeurs de système d’exploitation arrêtent de faire des évolutions graphiques kikoolol et travaillent plutôt sur l’isolation/sandboxing de l’espace de travail. En 2013, je ne vois pas de raison pour qu’un OS laisse un viewer de documents accéder à des données confidentielles, et encore moins le laisse ouvrir des connexions http.





exactement, c’est pour ça que l’environnement WinRT de Windows 8 a été conçu.

maintenant reste à convaincre les hateboys de privilégier les applis métro aux applis desktop.

votre avatar







Eagle1 a écrit :



nous sommes en 2013 et des gens ouvrent encore des documents dont ils ne connaissent pas la provenance, bonsoir !





Ca se voit que tu n’as jamais ouvert de PDF sur PC INpact, toi <img data-src=" />


votre avatar







lekillerderpg a écrit :



alors là, mon firewall dirait qu’un nouveau processus ou un processus modifié tenterait qqchose





Ton firewall bloque toute connexion inconnue sortante ? <img data-src=" />

Bonjour pour les programmes qui cherchent à s’activer en ligne avec un code unique.

edit: et le reste aussi, d’ailleurs <img data-src=" />


votre avatar

Le plus léger des lecteurs PDF reste de très loin SumatraPDF :http://blog.kowalczyk.info/software/sumatrapdf/

votre avatar







Gats a écrit :



Il vient de te dire qu’il connait pas la source. Relis la phrase.

Encore un qui croit mieux savoir que tout le monde. <img data-src=" />







rah ça m’énerve les commentaires comme ça <img data-src=" />



laisse les gens discuter


votre avatar

Autre bonne alternative : SumatraPDF

votre avatar

Un dossier sur les alternatives logicielles pour les PDF ne serait pas de trop. <img data-src=" />

votre avatar

Bon bah la sandbox a l’air terrible <img data-src=" />

votre avatar

nous sommes en 2013 et des gens ouvrent encore des documents dont ils ne connaissent pas la provenance, bonsoir !

votre avatar

Flash, Adobde Reader… J’espère que leur locaux ne sont pas aussi troués. <img data-src=" />

votre avatar







RBoudin a écrit :



Autre bonne alternative : SumatraPDF







Je sur-plussoie (même s’il faut changer la couleur de fond parce que le fond jaune, il est un peu dégueu quand même <img data-src=" /> )


votre avatar

Foxit Reader est basé sur Adobe Reader non ? Je me trompe peut-être car il y avait eu une faille (cele où on peut cliquer sur un lien vérolé au sein d’un PDF) qui était présente dans les 2 readers.

votre avatar

Genre, chez les autres liseuses, y’a pas de failles de sécurité<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

J’utilise Evince (sous Windows et Linux) et ça marche parfaitement <img data-src=" />

votre avatar







benhuriet a écrit :



Genre, chez les autres liseuses, y’a pas de failles de sécurité<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />







Moins de failles exploitables, car les spécifications PDF comprennent pas mal de fonctionnalités optionnelles. Donc moins de fonctionnalités implémentées -&gt; moins de vecteurs d’attaque.


votre avatar







Crysalide a écrit :



Foxit Reader est basé sur Adobe Reader non ? Je me trompe peut-être car il y avait eu une faille (cele où on peut cliquer sur un lien vérolé au sein d’un PDF) qui était présente dans les 2 readers.







Il me semble que les spécifications PDF sont librement accessibles, donc si plusieurs liseuses implémentent la même fonctionnalité, elle peut être exploitée de la même façon.


votre avatar







eternal_darkness a écrit :



Il me semble que les spécifications PDF sont librement accessibles, donc si plusieurs liseuses implémentent la même fonctionnalité, elle peut être exploitée de la même façon.







Non. La plupart des failles sont liées à l’implémentation, pas aux spécifications.



votre avatar







eternal_darkness a écrit :



Il me semble que les spécifications PDF sont librement accessibles, donc si plusieurs liseuses implémentent la même fonctionnalité, elle peut être exploitée de la même façon.





Si le bug vient des spec oui.



Souvent c’est plus un bug sur l’implémentation. (On peut arriver au même résultat de plusieurs façons)


votre avatar

C’est moi où ça sent le barbecue dans les parages ? <img data-src=" />



<img data-src=" />

votre avatar







benhuriet a écrit :



Genre, chez les autres liseuses, y’a pas de failles de sécurité<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





C’est sur, autant continuer à utiliser Adobe reader si dans tu dois ouvrir des PDF de sources inconnues.





Eagle1 a écrit :



nous sommes en 2013 et des gens ouvrent encore des documents dont ils ne connaissent pas la provenance, bonsoir !





T’as jamais bossé dans une boite? Si tu savais le nombre pièce jointe que je suis obligé d’ouvrir alors que je n’ai aucune confiance dans l’expéditeur.



“Tiens j’ai contacté ces 6 boites, 2 russe, un thaïlandais, 1 français, 1 chinois, 1 indien. Tu regarderas leurs propositions? On a encore jamais bossé avec eux, tu feras bien attention aux détails”.



Tu fais comment quand c’est comme ça? Tu lances une machine virtuelle à chaque pièce jointe à ouvrir? Ou alors tu envoies ton chef bouler, c’est sympa aussi.


votre avatar



À son ouverture sous Windows, deux fichiers DLL sont utilisés. Le premier pour afficher un faux message d’erreur ainsi qu’un faux document PDF, tandis que le second ouvre en arrière-plan une connexion vers un domaine distant.



D’où viennent ces 2 DLL ?

votre avatar







Khalev a écrit :



T’as jamais bossé dans une boite? Si tu savais le nombre pièce jointe que je suis obligé d’ouvrir alors que je n’ai aucune confiance dans l’expéditeur.







nan je suis ni videur ni serveur, ni DJ… <img data-src=" />







Khalev a écrit :



“Tiens j’ai contacté ces 6 boites, 2 russe, un thaïlandais, 1 français, 1 chinois, 1 indien. Tu regarderas leurs propositions? On a encore jamais bossé avec eux, tu feras bien attention aux détails”.



Tu fais comment quand c’est comme ça? Tu lances une machine virtuelle à chaque pièce jointe à ouvrir? Ou alors tu envoies ton chef bouler, c’est sympa aussi.







dans ce cas là, je considère que tu connais la source.

je pensais plutôt à l’e-mail inconnu dans la boite au lettre, en anglais, venant d’Afrique.


votre avatar







RBoudin a écrit :



Autre bonne alternative : SumatraPDF





<img data-src=" /> qui de plus, est libre ! Je l´utilise tout les jours et il fait très bien son boulot, en plus d´être très léger.



édit : oubli du sujet dans la phrase <img data-src=" />


votre avatar







Eagle1 a écrit :



dans ce cas là, je considère que tu connais la source.

je pensais plutôt à l’e-mail inconnu dans la boite au lettre, en anglais, venant d’Afrique.





Il vient de te dire qu’il connait pas la source. Relis la phrase.

Encore un qui croit mieux savoir que tout le monde. <img data-src=" />


votre avatar

Tiens, pas de tollé pour demander l’extermination d’Adobe Reader de la surface du web, comme pour le plugin Java ?



Deux poids deux mesures ?

votre avatar







brazomyna a écrit :



Deux poids deux mesures ?







Bin je pense que le Reader d’Adobe a dégagé du DD des INpactiens commentateurs depuis belle lurette (sans parler des linuxiens qui eux s’en tamponnent d’office de Reader) <img data-src=" />





Bon sinon, je suis ravis de constater que l’ajout d’une sandbox depuis la v10 du Reader fut au final très utile <img data-src=" />


votre avatar

j’interdis toute connexion de pdf reader à internet via mon firewall logiciel



suis-je protegé de ces failles<img data-src=" />


votre avatar

evince

Une nouvelle faille 0-day dans le lecteur PDF Reader d’Adobe

Fermer