Une nouvelle faille 0-day dans le lecteur PDF Reader d'Adobe

Une nouvelle faille 0-day dans le lecteur PDF Reader d’Adobe

Prudence ou utilisation d'un lecteur tiers

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

13/02/2013 2 minutes
46

Une nouvelle faille 0-day dans le lecteur PDF Reader d'Adobe

Des chercheurs en sécurité ont découvert une nouvelle faille dans le client Reader d’Adobe, utilisé pour la lecture des PDF. Problème, cette brèche est déjà activement exploitée.

 

La nouvelle faille a été découverte par la société FireEye. Cette dernière indique que l’exploitation déjà active a été trouvée sous la forme d’un document malveillant spécialement conçu pour. À son ouverture sous Windows, deux fichiers DLL sont utilisés. Le premier pour afficher un faux message d’erreur ainsi qu’un faux document PDF, tandis que le second ouvre en arrière-plan une connexion vers un domaine distant.

 

Puisque cette faille est déjà activement exploitée, cela signifie que les utilisateurs se servant d’Adobe Reader courent un risque potentiel. Toutes les dernières moutures des branches supportées, à savoir les versions 9.5.3, 10.1.5 et 11.0.1, sont concernées. De fait, plusieurs conseils seront utiles.

 

D’une part, l’utilisateur devra prendre soin de contrôler la source d’un PDF qu’on lui envoie : mieux vaut n’ouvrir que ceux dont il est absolument certain de la provenance. D’autre part, il est évidemment possible d’utiliser un client de lecture tiers. On pourra par exemple se rabattre sur FoxIt, par ailleurs très léger. Notez également que Firefox intégrera bientôt son propre lecteur PDF, entièrement créé depuis des technologies du web (HTML5/JavaScript). Enfin, il reste conseillé de désactiver le plug-in Reader dans le navigateur utilisé.

 

FireEye indique avoir déjà prévenu Adobe, la société enquêtant actuellement sur le problème.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (46)


Le 13/02/2013 à 16h 52

Autre bonne alternative : SumatraPDF


Un dossier sur les alternatives logicielles pour les PDF ne serait pas de trop. <img data-src=" />


Bon bah la sandbox a l’air terrible <img data-src=" />


nous sommes en 2013 et des gens ouvrent encore des documents dont ils ne connaissent pas la provenance, bonsoir !


Flash, Adobde Reader… J’espère que leur locaux ne sont pas aussi troués. <img data-src=" />








RBoudin a écrit :



Autre bonne alternative : SumatraPDF







Je sur-plussoie (même s’il faut changer la couleur de fond parce que le fond jaune, il est un peu dégueu quand même <img data-src=" /> )



Foxit Reader est basé sur Adobe Reader non ? Je me trompe peut-être car il y avait eu une faille (cele où on peut cliquer sur un lien vérolé au sein d’un PDF) qui était présente dans les 2 readers.


Genre, chez les autres liseuses, y’a pas de failles de sécurité<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


J’utilise Evince (sous Windows et Linux) et ça marche parfaitement <img data-src=" />








benhuriet a écrit :



Genre, chez les autres liseuses, y’a pas de failles de sécurité<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />







Moins de failles exploitables, car les spécifications PDF comprennent pas mal de fonctionnalités optionnelles. Donc moins de fonctionnalités implémentées -&gt; moins de vecteurs d’attaque.









Crysalide a écrit :



Foxit Reader est basé sur Adobe Reader non ? Je me trompe peut-être car il y avait eu une faille (cele où on peut cliquer sur un lien vérolé au sein d’un PDF) qui était présente dans les 2 readers.







Il me semble que les spécifications PDF sont librement accessibles, donc si plusieurs liseuses implémentent la même fonctionnalité, elle peut être exploitée de la même façon.



Le 13/02/2013 à 17h 23







eternal_darkness a écrit :



Il me semble que les spécifications PDF sont librement accessibles, donc si plusieurs liseuses implémentent la même fonctionnalité, elle peut être exploitée de la même façon.







Non. La plupart des failles sont liées à l’implémentation, pas aux spécifications.










eternal_darkness a écrit :



Il me semble que les spécifications PDF sont librement accessibles, donc si plusieurs liseuses implémentent la même fonctionnalité, elle peut être exploitée de la même façon.





Si le bug vient des spec oui.



Souvent c’est plus un bug sur l’implémentation. (On peut arriver au même résultat de plusieurs façons)



C’est moi où ça sent le barbecue dans les parages ? <img data-src=" />



<img data-src=" />








benhuriet a écrit :



Genre, chez les autres liseuses, y’a pas de failles de sécurité<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





C’est sur, autant continuer à utiliser Adobe reader si dans tu dois ouvrir des PDF de sources inconnues.





Eagle1 a écrit :



nous sommes en 2013 et des gens ouvrent encore des documents dont ils ne connaissent pas la provenance, bonsoir !





T’as jamais bossé dans une boite? Si tu savais le nombre pièce jointe que je suis obligé d’ouvrir alors que je n’ai aucune confiance dans l’expéditeur.



“Tiens j’ai contacté ces 6 boites, 2 russe, un thaïlandais, 1 français, 1 chinois, 1 indien. Tu regarderas leurs propositions? On a encore jamais bossé avec eux, tu feras bien attention aux détails”.



Tu fais comment quand c’est comme ça? Tu lances une machine virtuelle à chaque pièce jointe à ouvrir? Ou alors tu envoies ton chef bouler, c’est sympa aussi.





À son ouverture sous Windows, deux fichiers DLL sont utilisés. Le premier pour afficher un faux message d’erreur ainsi qu’un faux document PDF, tandis que le second ouvre en arrière-plan une connexion vers un domaine distant.



D’où viennent ces 2 DLL ?








Khalev a écrit :



T’as jamais bossé dans une boite? Si tu savais le nombre pièce jointe que je suis obligé d’ouvrir alors que je n’ai aucune confiance dans l’expéditeur.







nan je suis ni videur ni serveur, ni DJ… <img data-src=" />







Khalev a écrit :



“Tiens j’ai contacté ces 6 boites, 2 russe, un thaïlandais, 1 français, 1 chinois, 1 indien. Tu regarderas leurs propositions? On a encore jamais bossé avec eux, tu feras bien attention aux détails”.



Tu fais comment quand c’est comme ça? Tu lances une machine virtuelle à chaque pièce jointe à ouvrir? Ou alors tu envoies ton chef bouler, c’est sympa aussi.







dans ce cas là, je considère que tu connais la source.

je pensais plutôt à l’e-mail inconnu dans la boite au lettre, en anglais, venant d’Afrique.









RBoudin a écrit :



Autre bonne alternative : SumatraPDF





<img data-src=" /> qui de plus, est libre ! Je l´utilise tout les jours et il fait très bien son boulot, en plus d´être très léger.



édit : oubli du sujet dans la phrase <img data-src=" />









Eagle1 a écrit :



dans ce cas là, je considère que tu connais la source.

je pensais plutôt à l’e-mail inconnu dans la boite au lettre, en anglais, venant d’Afrique.





Il vient de te dire qu’il connait pas la source. Relis la phrase.

Encore un qui croit mieux savoir que tout le monde. <img data-src=" />



Tiens, pas de tollé pour demander l’extermination d’Adobe Reader de la surface du web, comme pour le plugin Java ?



Deux poids deux mesures ?








brazomyna a écrit :



Deux poids deux mesures ?







Bin je pense que le Reader d’Adobe a dégagé du DD des INpactiens commentateurs depuis belle lurette (sans parler des linuxiens qui eux s’en tamponnent d’office de Reader) <img data-src=" />





Bon sinon, je suis ravis de constater que l’ajout d’une sandbox depuis la v10 du Reader fut au final très utile <img data-src=" />



j’interdis toute connexion de pdf reader à internet via mon firewall logiciel



suis-je protegé de ces failles<img data-src=" />



Le 13/02/2013 à 18h 52

evince


Le 13/02/2013 à 18h 56







lekillerderpg a écrit :



j’interdis toute connexion de pdf reader à internet via mon firewall logiciel



suis-je protegé de ces failles<img data-src=" />







Pas forcément. Si elle permet l’exécution de code, il y a possibilité de créer un nouveau processus qui ne sera pas identifié comme “adobe reader”.



Pourquoi être encore étonné ?… <img data-src=" />








RBoudin a écrit :



Pas forcément. Si elle permet l’exécution de code, il y a possibilité de créer un nouveau processus qui ne sera pas identifié comme “adobe reader”.







alors là, mon firewall dirait qu’un nouveau processus ou un processus modifié tenterait qqchose









lekillerderpg a écrit :



alors là, mon firewall dirait qu’un nouveau processus ou un processus modifié tenterait qqchose







Sauf que les pare-feu ne sont pas INfaillible non plus <img data-src=" />









RBoudin a écrit :



Autre bonne alternative : SumatraPDF





+1

Bon ensuite, il n’est probablement pas exempt de faille de sécurité.



Vive les lecteurs libres !

www.pdfreaders.org








brazomyna a écrit :



Tiens, pas de tollé pour demander l’extermination d’Adobe Reader de la surface du web, comme pour le plugin Java ?



Deux poids deux mesures ?





Rien n’oblige à utiliser Adobe Reader pour lire des pdf.









Winderly a écrit :



Rien n’oblige à utiliser Adobe Reader pour lire des pdf.





Rien n’oblige à utiliser oracle-jre comme VM Java non plus <img data-src=" />



La fausse bonne idée est de désactiver le javascript dans acrobat reader.

J’ai déjà essayé de faire tourner acrobat reader sans javascript, c’est catastrophique.








Khalev a écrit :



Tu fais comment quand c’est comme ça? Tu lances une machine virtuelle à chaque pièce jointe à ouvrir? Ou alors tu envoies ton chef bouler, c’est sympa aussi.







Oui.



Ou alors, comme moi, tu milites pour que les vendeurs de système d’exploitation arrêtent de faire des évolutions graphiques kikoolol et travaillent plutôt sur l’isolation/sandboxing de l’espace de travail. En 2013, je ne vois pas de raison pour qu’un OS laisse un viewer de documents accéder à des données confidentielles, et encore moins le laisse ouvrir des connexions http.



Et sinon il y a la version metro de adobe Reader pour Windows 8 qui n’est pas vulnérable.

par contre comme sur toutes les versions smartphone/tablettes de adobe reader, il manque des fonctionnalités comme le support des formulaires.





Bon sinon, je suis ravis de constater que l’ajout d’une sandbox depuis la v10 du Reader fut au final très utile





c’est utile, mais ce n’est dispo que sur vista/7/8.

et oui, parfois les hackers arrivent a contourner les sandbox, mais pour autant ça reste de bons moyens de protection une fois les failles de contournement corrigées

après tout même ie9/win7 et chrome ont eu leur sandbox contournée à plusieurs reprises (ie10 pas encore).



au passage, la version win8/metro de adobe reader utilise la sandbox de winRT qui est plus efficace que celle d’ adobe reader desktop.




Ou alors, comme moi, tu milites pour que les vendeurs de système d’exploitation arrêtent de faire des évolutions graphiques kikoolol et travaillent plutôt sur l’isolation/sandboxing de l’espace de travail. En 2013, je ne vois pas de raison pour qu’un OS laisse un viewer de documents accéder à des données confidentielles, et encore moins le laisse ouvrir des connexions http.





exactement, c’est pour ça que l’environnement WinRT de Windows 8 a été conçu.

maintenant reste à convaincre les hateboys de privilégier les applis métro aux applis desktop.








Eagle1 a écrit :



nous sommes en 2013 et des gens ouvrent encore des documents dont ils ne connaissent pas la provenance, bonsoir !





Ca se voit que tu n’as jamais ouvert de PDF sur PC INpact, toi <img data-src=" />









lekillerderpg a écrit :



alors là, mon firewall dirait qu’un nouveau processus ou un processus modifié tenterait qqchose





Ton firewall bloque toute connexion inconnue sortante ? <img data-src=" />

Bonjour pour les programmes qui cherchent à s’activer en ligne avec un code unique.

edit: et le reste aussi, d’ailleurs <img data-src=" />



Le plus léger des lecteurs PDF reste de très loin SumatraPDF :http://blog.kowalczyk.info/software/sumatrapdf/








Gats a écrit :



Il vient de te dire qu’il connait pas la source. Relis la phrase.

Encore un qui croit mieux savoir que tout le monde. <img data-src=" />







rah ça m’énerve les commentaires comme ça <img data-src=" />



laisse les gens discuter









eternal_darkness a écrit :



Moins de failles exploitables, car les spécifications PDF comprennent pas mal de fonctionnalités optionnelles. Donc moins de fonctionnalités implémentées -&gt; moins de vecteurs d’attaque.









Bah nan tu penses :



http://www.clubic.com/telecharger/pdf/actualite-536130-foxit-reader-comble-faille-securite.html





<img data-src=" /><img data-src=" /><img data-src=" />









psn00ps a écrit :



Ca se voit que tu n’as jamais ouvert de PDF sur PC INpact, toi <img data-src=" />







tu considère pcinpact comme une source inconnu ?









Eagle1 a écrit :



tu considère pcinpact comme une source inconnu ?





<img data-src=" /> Ofc. Les PDF référencés dans les news viennent de sites tiers.









psn00ps a écrit :



<img data-src=" /> Ofc. Les PDF référencés dans les news viennent de sites tiers.







comme j’ai dit plus haut quand je dis source inconnu c’est plutôt le mail bizarre dans la boîte au lettre…



un pdf de la hadopi ou de sfr, c’est une source connu…









Eagle1 a écrit :



comme j’ai dit plus haut quand je dis source inconnu c’est plutôt le mail bizarre dans la boîte au lettre…



un pdf de la hadopi ou de sfr, c’est une source connu…





Ce qui fait que le phishing marche si bien.



Prochain envoi de malwares :

Veuillez remplir le PDF ci-joint afin de nous donner votre avis sur la qualité du réseau SFR. 1h de communication offerte aux 1000 premiers avis !









psn00ps a écrit :



Ce qui fait que le phishing marche si bien.



Prochain envoi de malwares :

Veuillez remplir le PDF ci-joint afin de nous donner votre avis sur la qualité du réseau SFR. 1h de communication offerte aux 1000 premiers avis !







ça c’est le genre d’email suspect…

ça n’a rien a voir avec un pdf partager par pc inpact, trouver sur le site officiel de sfr.









Eagle1 a écrit :



ça c’est le genre d’email suspect…

ça n’a rien a voir avec un pdf partager par pc inpact, trouver sur le site officiel de sfr.





C’est toi qui a suggéré hadopi/sfr. <img data-src=" />



Si le message est posté sur le forum SFR, amha on n’y verra que du feu.