Dans la journée du patch d’août, Adobe a corrigé plusieurs bogues de mémoires critiques dans Reader pour Windows et Mac OS X, mais aurait choisi de négliger complètement les utilisateurs Linux.
L'équipe de recherche en sécurité de Google, qui a découvert ces failles dans le cadre d'amélioration de sécurité dans Chrome, craint maintenant que les attaquants potentiels puissent trouver des indices suffisants pour construire un exploit, en comparant la version Windows de Reader avec l'ancienne. En plus, même les versions patchées souffrent encore de 16 failles de sécurité.
Mateusz Jurczyk et Gynvael Coldwind, des employés chez Google, sont arrivés à ce constat en analysant le moteur PDF dans le navigateur Chrome. Ensuite, ils ont testé Adobe Reader et découvert 60 causes de crash, 40 d'elles étaient des vecteurs potentiels d'attaque. Les chercheurs ont pu démontrer les différents cas en distribuant des informations masquées sur les crashs. Adobe avait promis qu'il corrigerait les bugs dans la journée du patch d’août, tout en précisant que seules certaines failles seraient corrigées.
Apparemment, les chercheurs menacent même de publier les détails de vulnérabilité en ligne en conformité avec « la divulgation responsable ». Adobe ne s'était pas vraiment inquiété. Le deadline a été fixé à 60 jours après le jour où les chercheurs ont informé Adobe. Ceci correspondra au 27e de ce mois. Le problème est qu'aucune mise à jour n'est prévue dans cette période du calendrier.
Ainsi, les chercheurs de Google préconisent de ne pas ouvrir dans Adobe Reader des documents PDF de sources externes. Il est même préférable de désactiver complètement l'extension Reader dans le navigateur.
Source :
Les derniers correctives des bugs de Reader
L'annonce des failles par Google
Et vous ?
Que pensez-vous de ces recommandations de Google ?
Google déconseille l'utilisation d'Adobe Acrobat sous Linux
Pour cause de failles non corrigées
Google déconseille l'utilisation d'Adobe Acrobat sous Linux
Pour cause de failles non corrigées
Le , par tarikbenmerar
Une erreur dans cette actualité ? Signalez-nous-la !