Faille du PDF : le problème vient d'Internet Explorer 7

<b>P</b>T<b>D</b><b>F</b>rousse 15
adobe acrobat readerRécemment, un problème était apparu autour du logiciel Adobe Acrobat et Adobe Reader. La faille de sécurité avait été découverte par Petko D. Petkov du site GNUCitizen.org.

Selon toute vraisemblance, la faille semblait affecter uniquement la version Windows du logiciel. Une adresse web contenant du code JavaScript pouvait en effet être spécialement conçue pour lancer Adobe Reader mais également une autre application en même temps, sans vérification. Quelques jours plus tard, Microsoft est intervenue pour signaler que le problème étant en fait relatif à Windows XP et Internet Explorer 7.

L’intégration du navigateur dans Vista est différente et son fonctionnement dans un espace isolé rend le problème inopérant. Toutefois, puisque la faille fonctionne bel et bien sur la version de Windows qui est encore la plus couramment utilisée, le sérieux de la situation nécessitait que les développeurs d’Adobe se penchent tout de même sur le sujet.

Bien que Microsoft ait annoncé qu’un patch serait disponible dans un futur proche, Adobe a tout de même publié une mise à jour de son lecteur de documents PDF. Estampillée 8.1.1, la nouvelle version de Reader fonctionne effectivement de la manière souhaitée. L’utilisation d’une page spécialement conçue pour lancer la calculatrice Windows depuis un lien provoque un message d’erreur de Reader : « Acrobat does not allow connection to: mailto:test%../../../../../../../../windows/system32/calc.exe".cmd »

De son côté, Microsoft prévoit de modifier la manière de traiter les URI (Uniform Resource Identifier) de manière à rendre la commande ShellExecute () plus stricte. Actuellement, c’est la présence du caractère « % » qui semble cause des soucis à Windows XP et Internet Explorer 7, les vérifications de ces derniers n’étant pas assez poussées.

Le problème n’existe pas dans Internet Explorer 6, qui reconnaît que l’adresse utilisée est malformée. Avec la version 7 toutefois, l’adresse est reconnue également comme malformée, mais un autre processus prend le relais, durant lequel le navigateur cherche à déterminer l’action qui aurait du normalement s’exécuter (ShellExecute () cherche à réparer l’URI). C’est cette opération qui n’inclut pas les étapes nécessaires de vérification.

La nouvelle version d'Adobe Reader peut être téléchargée depuis cette page.
Publiée le 23/10/2007 à 09:33 - Source : Microsoft
Publicité