actualité
 L'actualité informatique et multimédia
 Faille du PDF : le problème vient d'Internet Explorer 7
 PTDFrousse
Sécurité

adobe acrobat readerRécemment, un problème était apparu autour du logiciel Adobe Acrobat et Adobe Reader. La faille de sécurité avait été découverte par Petko D. Petkov du site GNUCitizen.org.

Selon toute vraisemblance, la faille semblait affecter uniquement la version Windows du logiciel. Une adresse web contenant du code JavaScript pouvait en effet être spécialement conçue pour lancer Adobe Reader mais également une autre application en même temps, sans vérification. Quelques jours plus tard, Microsoft est intervenue pour signaler que le problème étant en fait relatif à Windows XP et Internet Explorer 7.

L’intégration du navigateur dans Vista est différente et son fonctionnement dans un espace isolé rend le problème inopérant. Toutefois, puisque la faille fonctionne bel et bien sur la version de Windows qui est encore la plus couramment utilisée, le sérieux de la situation nécessitait que les développeurs d’Adobe se penchent tout de même sur le sujet.

Bien que Microsoft ait annoncé qu’un patch serait disponible dans un futur proche, Adobe a tout de même publié une mise à jour de son lecteur de documents PDF. Estampillée 8.1.1, la nouvelle version de Reader fonctionne effectivement de la manière souhaitée. L’utilisation d’une page spécialement conçue pour lancer la calculatrice Windows depuis un lien provoque un message d’erreur de Reader : « Acrobat does not allow connection to: mailto:test%../../../../../../../../windows/system32/calc.exe".cmd »

De son côté, Microsoft prévoit de modifier la manière de traiter les URI (Uniform Resource Identifier) de manière à rendre la commande ShellExecute () plus stricte. Actuellement, c’est la présence du caractère « % » qui semble cause des soucis à Windows XP et Internet Explorer 7, les vérifications de ces derniers n’étant pas assez poussées.

Le problème n’existe pas dans Internet Explorer 6, qui reconnaît que l’adresse utilisée est malformée. Avec la version 7 toutefois, l’adresse est reconnue également comme malformée, mais un autre processus prend le relais, durant lequel le navigateur cherche à déterminer l’action qui aurait du normalement s’exécuter (ShellExecute () cherche à réparer l’URI). C’est cette opération qui n’inclut pas les étapes nécessaires de vérification.

La nouvelle version d'Adobe Reader peut être téléchargée depuis cette page.

Rédigée par le mardi 23 octobre 2007 à 09h33 (17440 lectures)
Source de l'INformation : Microsoft
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 15 commentaires dont 15 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

21 septembre 2007   Faille critique dans les documents au format PDF
13 juillet 2007   Adobe corrige plusieurs failles dans Flash
27 avril 2007   Secunia avertit les utilisateurs d'une faille dans Photoshop
09 janvier 2007   Une ancienne faille d'Acrobat Reader refait parler d'elle
13 septembre 2006   Adobe publie un bulletin pour une faille critique de Flash
17 août 2005   Acrobat et Reader à nouveau victimes de trous
14 juin 2005   Adobe prévient d'une faille dans trois de ses logiciels

Recherches relatives : adobe - pdf - faille - ie7 windows - patch