Un expert anglais en sécurité vient de dévoiler plusieurs méthodes d'attaques par porte dérobée au sein des documents PDF. Il serait selon lui possible de faire passer un code malin grâce à certaines fonctions Web intégrées dans ces fichiers.

David Kierznowski a effectivement pu tester avec succès l'exploitation d'une première porte dérobée. Il peut alors lancer tout type de code malin indépendamment de la volonté de l'utilisateur. Cependant, il ne considère pas celle-ci comme une réelle vulnérabilité, car elle fait surtout partie d'une fonctionnalité utilisable ou non. Le but est « d'exploiter des fonctionnalités du produit qui n'ont jamais été conçues pour une telle utilisation » explique-t-il.

Une seconde porte dérobée profite aussi du système ADBC (Adobe Database Connectivity) et de la gestion des Web Services. Elle « accède à Windows ODBC, compte le nombre de bases de données disponibles et envoie le résultat par un service Web. Cette attaque pourrait être étendue à des requêtes sur les bases de données, par interface Web », explique le chercheur.

Les deux failles ont été testées avec les toutes dernières versions d’Acrobat Reader. Adobe confirme d'ailleurs l'existence de ces failles, et affirme enquêter activement sur leur résolution.  Plus d'information sur cette page, du blog de Kierznowski.