Google déconseille l'utilisation d'Adobe Acrobat sous Linux
Pour cause de failles non corrigées
Le 2012-08-16 14:47:50, par tarikbenmerar, Chroniqueur Actualités
Dans la journée du patch d’août, Adobe a corrigé plusieurs bogues de mémoires critiques dans Reader pour Windows et Mac OS X, mais aurait choisi de négliger complètement les utilisateurs Linux.
L'équipe de recherche en sécurité de Google, qui a découvert ces failles dans le cadre d'amélioration de sécurité dans Chrome, craint maintenant que les attaquants potentiels puissent trouver des indices suffisants pour construire un exploit, en comparant la version Windows de Reader avec l'ancienne. En plus, même les versions patchées souffrent encore de 16 failles de sécurité.
Mateusz Jurczyk et Gynvael Coldwind, des employés chez Google, sont arrivés à ce constat en analysant le moteur PDF dans le navigateur Chrome. Ensuite, ils ont testé Adobe Reader et découvert 60 causes de crash, 40 d'elles étaient des vecteurs potentiels d'attaque. Les chercheurs ont pu démontrer les différents cas en distribuant des informations masquées sur les crashs. Adobe avait promis qu'il corrigerait les bugs dans la journée du patch d’août, tout en précisant que seules certaines failles seraient corrigées.
Apparemment, les chercheurs menacent même de publier les détails de vulnérabilité en ligne en conformité avec « la divulgation responsable ». Adobe ne s'était pas vraiment inquiété. Le deadline a été fixé à 60 jours après le jour où les chercheurs ont informé Adobe. Ceci correspondra au 27e de ce mois. Le problème est qu'aucune mise à jour n'est prévue dans cette période du calendrier.
Ainsi, les chercheurs de Google préconisent de ne pas ouvrir dans Adobe Reader des documents PDF de sources externes. Il est même préférable de désactiver complètement l'extension Reader dans le navigateur.
Source :
Les derniers correctives des bugs de Reader
L'annonce des failles par Google
Et vous ?
Que pensez-vous de ces recommandations de Google ?
L'équipe de recherche en sécurité de Google, qui a découvert ces failles dans le cadre d'amélioration de sécurité dans Chrome, craint maintenant que les attaquants potentiels puissent trouver des indices suffisants pour construire un exploit, en comparant la version Windows de Reader avec l'ancienne. En plus, même les versions patchées souffrent encore de 16 failles de sécurité.
Mateusz Jurczyk et Gynvael Coldwind, des employés chez Google, sont arrivés à ce constat en analysant le moteur PDF dans le navigateur Chrome. Ensuite, ils ont testé Adobe Reader et découvert 60 causes de crash, 40 d'elles étaient des vecteurs potentiels d'attaque. Les chercheurs ont pu démontrer les différents cas en distribuant des informations masquées sur les crashs. Adobe avait promis qu'il corrigerait les bugs dans la journée du patch d’août, tout en précisant que seules certaines failles seraient corrigées.
Apparemment, les chercheurs menacent même de publier les détails de vulnérabilité en ligne en conformité avec « la divulgation responsable ». Adobe ne s'était pas vraiment inquiété. Le deadline a été fixé à 60 jours après le jour où les chercheurs ont informé Adobe. Ceci correspondra au 27e de ce mois. Le problème est qu'aucune mise à jour n'est prévue dans cette période du calendrier.
Ainsi, les chercheurs de Google préconisent de ne pas ouvrir dans Adobe Reader des documents PDF de sources externes. Il est même préférable de désactiver complètement l'extension Reader dans le navigateur.
Source :
Et vous ?
-
Xinu2010Membre avertiMême sous Windows Acrobat est lourd et bourrée de faille, c'est bien connu, d'ailleurs l'article précise que la version patchée contient encore 16 failles...
LeSmurf > Il n'est pas utilisé en tant que viewer externe, mais il l'est en revanche en tant qu'addon pour Chrome au moins.le 16/08/2012 à 16:57 -
LeSmurfMembre expérimentéJ'utilise Evince depuis plusieurs années, je le trouve bien plus rapide et léger qu'Acrobat et j'arrive à lire la très grande majorité des PDF. Qu'est-ce qui te gêne avec Evince? => la gestion des pdf protégés, l'édition?le 16/08/2012 à 17:31
-
laerneMembre éprouvé+1, je comprends pas non plus en quoi Evince est mauvais, ce serait bien d'argumenter.le 17/08/2012 à 10:08
-
LeSmurfMembre expérimenté=> Que pensez-vous de ces recommandations de Google ?le 16/08/2012 à 16:07
-
CrazyfabooMembre actif
Envoyé par Xinu2010 le 16/08/2012 à 17:05 -
EisenheimMembre à l'essaiPersonnellement j'utilise Okular sur Linux et SumatraPDF sur Windows (qui est d'ailleurs le meilleur lecteur que j'ai pu trouvé à ce jour).le 16/08/2012 à 17:38
-
CrazyfabooMembre actifLe jour où j'ai découvert qu'Adobe fournissait Acrobat pour Linux, je l'ai installé. Mais les perfos et l'interface étaient vraiment catastrophique par rapport à evince par exemple et je l'ai aussitôt désinstallé.
Sous Windows il est bien (je me refuse à utiliser autre chose sous Windows d'ailleurs vu que j'ai toujours pas trouvé mieux), par contre sous Linux, ça ne vaut pas le coup comparé aux viewers gratuits (sauf si on veut éditer/voir les notes et encore, okular le fait à présent me semble-t-il).
Et apparemment, il ne doit pas y avoir tant de monde que ça sous Linux qui s'en sert pour qu'Adobe ne prenne même pas la peine de le mettre à jour !le 16/08/2012 à 16:05 -
Xinu2010Membre avertile 16/08/2012 à 17:31
-
marc.collinMembre éméritesous linux, j'utilise okular, sous windows, j'aime bien foxit. Il est très rapide.le 16/08/2012 à 18:53
-
wokermInactifpour j'utilise foxitreader et j'ai aucun problème il est plus léger et souplele 17/08/2012 à 10:40