Sans être une vulnérabilité critique, la faille qui vient d'être mise à jour reste néanmoins préoccupante.
Jusqu'ici, lorsqu'un PDF était mis en ligne, son auteur pouvait décider de cacher les informations contenues dans l'en-tête et le pied de page. Ces informations concernent notamment le "chemin" (C:/Documents and settings/etc. ) de l'endroit ou se trouvait le PDF sur le disque local. Si l'on y prend garde, les noms d'utilisateurs (voire l'identité du créateur du document), le type d'OS employé, le nom d'un projet (si le PDF est dans un dossier portant ce nom), etc. peuvent rapidement devenir publics.
On croyait que ces informations pouvaient toujours être camouflées via File -> Page Setup -> Pied de Page et modifier “URL” en “Empty”. Une fois cette modificationa apportée, les pieds de pages restent vides. Mais les informations sont toujours là.
Et très facilement consultables.
Il suffit d'imprimer le PDF avec Internet Explorer (même la version 8).
Dans Windows, un simple clic-droit sur un document permet de lancer une impression... qui révèlera toutes les informations précédemment dissimulées. Il ne s'agit pas d'une impression papier mais nous ne donneront pas plus de détails sur le proof-of-concept qui permet d'y accéder
Internet Explorer est impliqué dans cette faille dans la mesure où le menu contextuel s'appuie le navigateur (qui gère également l'affichage des fenêtres dans l'OS).
Curieusement, seuls 20 % des PDF de la toile semblent exposés. Contacté par l'auteur de la preuve de faisabilité, Microsoft a confirmé qu'il travaillait sur cette anomalie.
La seule parade, à ce jour, contre ces indiscrétions reste de suppriment manuellement ces informations en utilisant un éditeur de texte.
De son coté, Adobe reste désespérément silencieux.
Source : La Proof-of-Concept
Lire aussi :

Les rubriques (news, tutos, forums) de Developpez.com



Et vous ? :

