Midilibre.fr
Tous les blogs | Alerter le modérateur| Envoyer à un ami | Créer un Blog

30/04/2009

[adobe] - Faille de sécurité, on recommence....

772533361.jpgEn février 2009, je vous relatais une faille des produits adobe reader et acrobat et ce sur toutes les plates-formes. La mise à jour avait tardé à venir, mais elle est venu. Pendant ce temps la il était conseillé de désactiver les fonctionnalités javascript de ces outils.

Mai 2009, on prends les même et on recommence, toutes les plates-formes sont à nouveau touché (windows, linux & mac.) et est de nouveau hautement critique, sauf que cette fois ci il n'y a pas vraiment de date de sortie pour le patch (la dernières fois on avait une délai d'un mois annoncé), ici on se contente d'un : "nous travaillons sur le sujet, un calendrier de sortie pour le patch sera disponible le plus rapidement possible.". ... donc encore une fois on désactive le javascript, ou on utilise des outils open source.

Pour le détail, cette fois deux fonctions javascript sont mis en cause : spell.customDictionnaryOpen et getAnnots. Le principe de la faille est identique à la dernière : une iframe permettrait d'éxécuter du code sur la machine qui exécute le pdf. Donc un trojan pourrait être installé.

23/02/2009

[adobe] - Une faille sur toutes les plate-formes

images.jpgAdobe à annoncé le 19 février 2009, une faille critique dans son application Adobe Reader et Acrobat. Cette faille, qui touche les versions 9 et antérieur des logiciels mentionnés, est de type Débordement de mémoire. On trouve une description assez sommaire du problème sur le site d'adobe plus d'information ici, cette vulnérabilité a été reporté comme déja utilisé.

Il semblerait que les XP en SP3, soit particulièrement touché, donc pas de panique pour Mac Os et Linux, mais tout de même Adobe prends le soins d'indiquer que cette faille touche toutes les plates formes.

Le correctif ne sera disponible que le 11 Mars pour les versions 9, et les pauvres malheureux qui ont la version 8 ou 7  (comme si cela n'était pas assez de devoir utiliser un logiciel propriétaire...) devront rester des cibles potentielles, sauf si vous désactiver le javascript (dans les options) ou, solution encore plus sûr : utiliser un logiciel open-source pour lire vos documents PDF (kpdf, evince, xpdf....) vous n'avez que l'embarras du choix.