Firefox : une mise à jour colmate une brèche dans son lecteur PDF

Firefox : une mise à jour colmate une brèche dans son lecteur PDF

Un redémarrage fera l'affaire

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

07/08/2015 3 minutes
46

Firefox : une mise à jour colmate une brèche dans son lecteur PDF

Mozilla avertit ses utilisateurs d’une faille dont le correctif est disponible en urgence. La brèche a été repérée par un utilisateur et réside dans le module de lecture des documents PDF. Un site conçu spécialement peut déjà récolter des données et les transmettre à un autre serveur.

Les utilisateurs des versions 38 (ESR) et 39 de Firefox sont invités à appliquer la nouvelle mise à jour aussi rapidement que possible. Dans la plupart des cas, il suffira de redémarrer le navigateur puisque les correctifs se téléchargent automatiquement. Dans le doute, il est préférable d’aller vérifier dans la fonction intégrée de mise à jour.

Mozilla a été averti par un utilisateur ayant repéré une publicité russe qui cherchait manifestement à exploiter une faille résidant dans le PDF Viewer de Firefox. La brèche permet de récolter des données sensibles et l’utilisateur avait pu observer l’envoi des données sur un serveur manifestement situé en Ukraine. Puisque la faille réside dans un composant particulier, tous les produits de Mozilla qui en sont exempts ne sont pas concernés, notamment Firefox pour Android.

Mozilla note bien que la vulnérabilité ne permet en aucun cas de déclencher à distance l’exécution d’un code arbitraire sur la machine. Cependant, du code JavaScript peut être inséré dans un contexte local, permettant au pirate de récupérer certains fichiers. Les données visées sont, de l’aveu même de Mozilla, assez surprenantes puisque très orientées vers les développeurs. Des fichiers de configuration subversion, s3browser et Filezilla (ainsi que d’autres clients FTP), des informations sur des comptes Psi+ et .purple, ou encore les fichiers contenus dans les historiques de Bash ou MySQL. On notera que les utilisateurs de Mac ne sont pas concernés par cette attaque.

L’éditeur encourage les utilisateurs à changer des mots de passe si les logiciels visés sont utilisés. Point intéressant, Mozilla ajoute que les utilisateurs de solutions de blocage publicitaire ont potentiellement été protégés de cette faille puisque l’exploitation résidait justement dans une publicité. Il est délicat cependant de définir l’ampleur de l’exploitation car la brèche a très bien pu être utilisée dans d’autres pays.

Dans tous les cas, la solution est de redémarrer Firefox dès à présent.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (46)


Bravo à Mozilla pour sa rapidité !!

 



Bravo à l’utilisateur vigilant <img data-src=" />



&nbsp;

&nbsp;




qui cherchait manifestement à exploiter une faille résidant dans le PDF Viewer de Firefox. La brèche permet de récolter des données sensibles et l’utilisateur avait pu observer l’envoi des données sur un serveur manifestement situé en Ukraine.





Manifestement c’est très manifesté <img data-src=" />

Petite répétition sur le mot :)

(version mobile pas de signalement)


Foxit reader est top ; )


SumatraPDF &gt; Foxit Reader&nbsp;&nbsp; <img data-src=" />!!!


Les données visées sont, de l’aveu même de Mozilla, assez surprenantes puisque très orientées vers les développeurs.&nbsp;

Je ne trouve pas ça si surprenant que ça, si ça permet au hacker d’accéder à un serveur distant en volant des mots de passe (les données de Filezilla ne sont pas chiffrées), c’est tout bénéf pour lui : ça alimente l’usine à phishing, spam et compagnie.




Les données visées sont, de l’aveu même de Mozilla, assez surprenantes puisque très orientées vers les développeurs. Des fichiers de configuration subversion, s3browser et Filezilla (ainsi que d’autres clients FTP), des informations sur des comptes Psi+ et .purple



C’est Microsoft qui utilise la faille pour avoir une chance un jour d’alimenter son store en applis <img data-src=" />


Non ce n’est pas Microsoft, sinon ils auraient laissé le ballot screen et le navigateur par défaut choisi par l’utilisateur dans Windows 10.&nbsp; <img data-src=" />

&nbsp;








MdMax a écrit :



Non ce n’est pas Microsoft, sinon ils auraient laissé le ballot screen et le navigateur par défaut choisi par l’utilisateur dans Windows 10.  <img data-src=" />



C’est ballot.



Donc Linux est aussi visé ? Les bloqueurs de pubs rendent-il l’attaque inopérante ?








zefling a écrit :



Les bloqueurs de pubs rendent-il l’attaque inopérante ?





Seulement si l’attaque vient d’une pub.









SebGF a écrit :



Manifestement c’est très manifesté <img data-src=" />

Petite répétition sur le mot :)

(version mobile pas de signalement)





Manifestement, le manifeste du log s’est manifesté de façon manifeste…

&nbsp;

&nbsp;Évidemment, il est évident que mon commentaire s’est évidé au vu de l’évidence de la situation…<img data-src=" />









Nargas a écrit :



SumatraPDF &gt; Foxit Reader&nbsp;&nbsp; <img data-src=" />!!!





Evince &gt; All

&nbsp; C’est le lecteur de pdf de gnome, compatible aussi sur Win.



Si tu as NoScript et qu’il n’y a pas trop de sites sur ta liste blanche, ça devrait bien te préserver.








zefling a écrit :



Donc Linux est aussi visé ? Les bloqueurs de pubs rendent-il l’attaque inopérante ?







Apparemment, une mise à jours apparente est apparu dans mon gestionnaire de mise à jours sur mon Linux Mint ce matin. Cette mise à jours apparue concernait Firefox









marba a écrit :



Evince &gt; All

  C’est le lecteur de pdf de gnome, compatible aussi sur Win.





Acrobat Reader DC &gt; All !









[_Driltan_ a écrit :



]

Acrobat Reader DC &gt; All !





ben non c’est le plus lourd de tous <img data-src=" />



enfin chacun son soft <img data-src=" />









[_Driltan_ a écrit :



]

Acrobat Reader DC &gt; All !





Trop gros <img data-src=" />



Edge ! <img data-src=" />



Bah oui, c’est le lecteur PDF par défaut sous Windows 10, avec la même technologie que Firefox d’ailleurs <img data-src=" />








marba a écrit :



Trop gros lourd <img data-src=" />



&nbsp; <img data-src=" />









[_Driltan_ a écrit :



]

Acrobat Reader DC &gt; All !





acrobat reader est utilisé par la majorité vu qu’il est installé par défaut. Et du coup plusieurs virus visent directement adobe reader.

&nbsp;

A moins d’avoir des besoins spécifiques (notamment et surtout professionnel dans l’imprimerie), il vaut mieux virer adobe reader et le remplacer par foxit / x change viewer



Si on regarde le nombre de résultats pour ces recherches…

&nbsp;

https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Acrobat%22 Acrobat: 456



&nbsp;      



https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Foxit%22 Foxit: 91



&nbsp;      



https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Evince%22 Evince: 8



https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22Sumatra%22 Sumatra: 6



&nbsp;      



https://www.google.fr/search?q=site%3Acert.ssi.gouv.fr+%22XChange%22 XChange: 0



&nbsp;       

&nbsp;Je confirme: Acrobat &gt; all <img data-src="> dans le domaine des vulnérabilités.



&nbsp;


+1


Quand on utilise SumatraPDF ou autre alternative, généralement on prend soin de désactiver le viewer PDF de Firefox.



La dernière fois que je m’en suis servi (par erreur suite à un profil neuf), j’avais croisé des fichiers qui ont été mal rendu alors qu’ils fonctionnaient bien par le logiciel externe. J’ai donc l’habitude de le désactiver en permanence.

&nbsp;

Du coup la faille n’aurait pas pû toucher ces personnes.


J’ai désactivé le lecteur pdf intégré à Firefox pour le moment.

J’attends d’éventuels retour. :3


T’as un exemple de fichier mal rendu avec le lecteur PDF natif de Firefox ? Si c’est le cas, on peut ouvrir un bug sur Bugzilla, ça peut parfois être résolu facilement.


A l’époque, il s’agissait de documents contenant beaucoup de données personnelles donc hors de question de faire des rapports de bugs (documents de l’administration, etc.).

&nbsp;

Remarque c’est peut-être corrigé depuis et sans qu’ils le veuillent, mais je n’irai pas tester. Je préfère utiliser des logiciels spécialisés de toute façon.








psn00ps a écrit :



<img data-src=" />







Mais carrément… J’ai du l’installer à cause d’un PDF bourré de formulaires qui ne marchait pas sur le reader installé par défaut sur le PC du taff.

230Mo le setup, sérieux pour lire du pue du fion !



A ce rythme là dans 2 ans un lecteur PDF va faire 40To…









Nargas a écrit :



SumatraPDF &gt; Foxit Reader&nbsp;&nbsp; <img data-src=" />!!!





Je plussoie.



Sumatra est très bien, mais il nécessite pour l’instant des fenêtres. Pour les utilisateurs courant à l’air libre, il n’est pas pas encore dispo. (Quoi que les sources soit également libre)



<img data-src=" />


Sans doute des PDF avec des formulaires à remplir, effectivement le PDF Viewer de FF ne supporte pas encore AcroForms/XFA.


Certains formulaires officiels nécessitent Acrobat Reader DC, c’est le “seul” lecteur PDF à tout lire correctement et de manière performante (d’après mon expérience sur Windows).



En ce qui concerne le lecteur PDF de Firefox, je le trouve horriblement lent et peu compatible avec certains documents (lire un plan du réseau TCL par exemple, très vectoriel, impossible avec si je n’ai pas 1 heure devant moi…), ça reste du dépannage.








ascrounch a écrit :



Foxit reader est top ; )





+1.

&nbsp; Quoique les dernières versions semblent devenir lourdes (idem pour Sumatra), du coup je me suis cantonné à une vieille 4.1 portable&nbsp; <img data-src=" />









Etre_Libre a écrit :



ça reste du dépannage.







Tu résumes l’intérêt des lecteurs PDF embarqués des navigateurs.

Ils permettent d’ouvrir un doc simple mais ils ne remplaceront jamais un vrai logiciel dédié à cette tâche.



Vouloir faire croire que le navigateur peut remplacer la myriade d’applications qui composent un OS avec les mêmes performances et capacités, c’est quand même une belle connerie.







  • addons: NoScript+uBlock…

  • Activation des plugins sur demande (flash, etc)…

  • Hostman+peerblock avec les listes qui vont bien…

  • Utilisateur qui va pas sur des sites moisis ou alors une fois tous les 10 ans mais en mettant alors une double capote (sandboxie ou VM)…





    Conclusion: Viens donc me chercher exploit…<img data-src=" />








fred_gaou a écrit :



addons: NoScript+uBlock…

Activation des plugins sur demande (flash, etc)…

Hostman+peerblock avec les listes qui vont bien…

Utilisateur qui va pas sur des sites moisis ou alors une fois tous les 10 ans mais en mettant alors une double capote (sandboxie ou VM)…

Conclusion: Viens donc me chercher exploit…<img data-src=" />





quand on utilises noscript, ublock ne sert à rien.

par contre tu peux rajouter ghostery.

&nbsp;



&nbsp;pour hostman, j’ai testé et vite laissé tomber. Perso je n’en ai pas l’utilité.









jeje07bis a écrit :



x change viewer







Super soft très léger. La je viens de tester l’ouverture d’un PDF et je ne l’avais pas démarré avant, c’est instantané, la seconde n’a pas le temps de passer.



Concernant FF, je suis en 39.0.3 et ça me dit à jour c’est bon ou pas ?









renaud07 a écrit :



Super soft très léger. La je viens de tester l’ouverture d’un PDF et je ne l’avais pas démarré avant, c’est instantané, la seconde n’a pas le temps de passer.



Concernant FF, je suis en 39.0.3 et ça me dit à jour c’est bon ou pas ?





c’est à jour oui.

&nbsp;



&nbsp;









jeje07bis a écrit :



quand on utilises noscript, ublock ne sert à rien.

par contre tu peux rajouter ghostery.

&nbsp;



&nbsp;pour hostman, j’ai testé et vite laissé tomber. Perso je n’en ai pas l’utilité.





ghostery ne sert à rien avec noscript et ublock.



Je vais troller,

&nbsp;

&nbsp;STDU Viewer &gt; all

&nbsp;

&nbsp;;-)








jeje07bis a écrit :



quand on utilises noscript, ublock ne sert à rien. […]

 pour hostman, j’ai testé et vite laissé tomber. Perso je n’en ai pas l’utilité.





Pardon mais ublock se base sur des filtres pré-configurés de pub ou autre objet malveillant (ou dérangeant) pour bloquer des requêtes vers des serveurs et certains scripts. Alors que noscript bloque par défaut tous script et plus de la page visitée, ce qui offre encore un peu plus de protections contre des exploits. En fait, il peut bloquer par défaut sur chaque page: JS, Java, Flash, Silverlight, HTML5 (video/audio, pre-fetching etc.), browser ping, Iframes, WEBGL, attaques XSS et ABE, connections LAN.



Certes, on peut émuler certaines fonctionnalités de noscript avec uBlock et son intérêt peut diminuer si on maitrise manuellement l’activation des plugins mais uBlock ne remplace pas complètement noscript. Noscript bloque par défaut tout script, y compris les potentiellement malicieux alors que uBlock ne bloquera que les scripts malicieux qui sont reconnus comme tel dans un de ses filtres. Donc il ne protège pas des scripts malicieux encore inconnus à moins de passer en mode avancé et de le configurer pour ça aussi.



Mais Noscript est user-friendly en ce qui concerne l’autorisation permanente ou temporaire de tous les scripts ou de certains seulement. Il me permet en plus de voir tous les scripts de la page d’un coup d’œil, je trouve ça instructif sur l’utilité d’autant de scripts pour afficher une page ou pas, sur quel script fait quoi et si on peut donc l’ajouter à la liste blanche de façon permanente. C’est un contrôle de l’utilisateur qui décide de faire confiance ou pas au cas par cas. Et comme les scripts sont bloqués par défaut, les nouvelles pages visitées (sans règles) se chargent plus rapidement. Quand on veut simplement lire son contenu sans les animations superflues, les supers menus de la mort et autres js apps, c’est que du bonheur. L’inconvénient majeur de noscript est que l’utilisateur doit, si besoin pour afficher la page ou accéder à certains de ses services, autoriser les scripts du/des domaines pour chaque nouvelle page qu’il visite. Mais faut savoir ce qu’on veut et avec le temps, on a de moins en moins à le faire (pour les 3rd party scripts).



Je reconnais que je viens de découvrir uBlock et que je n’ai pas pris le temps encore de me plonger dans toutes ses capacités. Je comprends qu’on peut peaufiner ses propres règles de blocage dans le mode avancé, en mettant les mains dans le cambouis mais ça ne réfute pas les argument ci-dessus. Avant, j’utilisais ABP.



Quant à hostman, bah…, un fichier host ça protège (filtre) toute la machine, pas seulement le navigateur avec les add-ons qui vont bien. Un autre intérêt est que si tu veux désactiver tes add-ons de sécurité pour tester en truc, derrière il y a quand même hostman qui protège un minimum. Il ne faut pas s’abonner à trop de listes, ça peut surcharger le cache DNS de windows et faire planter toutes connections. Seulement 2 listes sont actives chez moi:





  • MVPS Hosts

  • AdZhosts (ajouté manuellement)





    Ça me donnent que 109 263 entrée dans le fichier hosts. Et ma connection n’en est pas impactée.



    Quant à Peerblock, je n’utilise pas ses fonctions de blocage http qui est bien trop restrictif et chiant pour gérer les autorisations. Là, dans ce cas, carrément double emploi avec hostman et bloqueur de pub. Pour le reste c’est un must have pour le peer to peer. Toutes les listes par défaut sont activée + 9 autres listes ajoutée manuellement.









fred_gaou a écrit :



Pardon mais ublock se base sur des filtres pré-configurés de pub ou autre objet malveillant (ou dérangeant) pour bloquer des requêtes vers des serveurs et certains scripts. Alors que noscript bloque par défaut tous script et plus de la page visitée, ce qui offre encore un peu plus de protections contre des exploits. En fait, il peut bloquer par défaut sur chaque page: JS, Java, Flash, Silverlight, HTML5 (video/audio, pre-fetching etc.), browser ping, Iframes, WEBGL, attaques XSS et ABE, connections LAN. Certes, on peut émuler certaines fonctionnalités de noscript avec uBlock et son intérêt peut diminuer si on maitrise manuellement l’activation des plugins mais uBlock ne remplace pas complètement noscript. Noscript bloque par défaut tout script, y compris les potentiellement malicieux alors que uBlock ne bloquera que les scripts malicieux qui sont reconnus comme tel dans un de ses filtres. Donc il ne protège pas des scripts malicieux encore inconnus à moins de passer en mode avancé et de le configurer pour ça aussi. &nbsp;

&nbsp;





&nbsp;

Bah c’est bien ce que je voulais dire.

&nbsp;donc pour quelqu’un qui utilise noscript, il n’y a aucune intérêt à installer ublock en plus.









jeje07bis a écrit :



Bah c’est bien ce que je voulais dire.

donc pour quelqu’un qui utilise noscript, il n’y a aucune intérêt à installer ublock en plus.





Soit tu n’as rien compris, soit tu n’as rien lu.



Ils sont complémentaires. uBlock permet d’éliminer visuellement les pubs (et tout ce que tu veux) de la page. Tu peux lui demander de cacher tout ce qui t’est indésirables selon des filtres ou règles personnalisées:





  • certaines images

  • frame

  • ou tout autre élément du DOM





    Ce n’est pas du tout le rôle de noscript qui te permet pas de faire ça.

    CQFD



Il manque une information capitale dans l’article : la configuration et les clés SSH sont aussi visées. C’est le moment de songer au renouvellement…








fred_gaou a écrit :



Soit tu n’as rien compris, soit tu n’as rien lu.



Ils sont complémentaires. uBlock permet d’éliminer visuellement les pubs (et tout ce que tu veux) de la page. Tu peux lui demander de cacher tout ce qui t’est indésirables selon des filtres ou règles personnalisées:





  • certaines images

  • frame

  • ou tout autre élément du DOM





    Ce n’est pas du tout le rôle de noscript qui te permet pas de faire ça.

    CQFD







    Ben si, no script bloque aussi les pubs.

    Je n’ai jamais eu ublock ni adblock, seulement no script, et je n’ai aucune pub.