Faille PDF : précisions de Didier Stevens et réactions des éditeurs
Possible Destruction Format
Didier Stevens, chercheur en sécurité, a démontré sur son site un Proof of Concept sur le format PDF (notre actualité). Cette exploitation permet de faire exécuter par une ligne de commande un programme dans un PDF. Sur Adobe Reader, un message alertait certes l'utilisateur pour lui demander l’autorisation d’exécuter, mais une bidouille permet de masquer l’alerte dans la boite de dialogue via des lignes de texte destinées à le mettre en confiance. Sur Foxit Reader, c’est pire : la démonstration de Didier Stevens montrait que le lecteur lance l' exécutable appelé par le PDF sans alerte l’utilisateur.
Nous indiquions hier que Frédéric Raynal, un autre chercheur, présentait déjà des travaux similaires fin 2008 relatifs aux dangers du PDF. Didier Stevens nous a contactés pour nous apporter une précision importante : « en mars 2008, Éric Filiol(*) parle de la commande /Launch lors de sa présentation a Black Hat Amsterdam. J'étais présent ». Didier nous indique par ailleurs qu’il avait présenté ces travaux avec Fred Raynal en octobre 2009, à hack.lu. La rectification est apportée.
Une vidéo décrit par ailleurs cette découverte :
Côté éditeurs, Adobe et FoxIT ont tous les deux rapidement indiqué qu’ils allaient enquêter sur ces brèches de sécurité. Chez FoxIt, où la faille était réellement importante, l’équipe a mis à disposition une mise à jour. Désormais, comme Adobe Reader, l'utilisateur est alerté par une boîte de dialogue.
(*) Chercheur lieutenant-colonel de l'Armée de Terre française, expert français en sécurité informatique et spécialisé en cryptologie et virologie.
Nous indiquions hier que Frédéric Raynal, un autre chercheur, présentait déjà des travaux similaires fin 2008 relatifs aux dangers du PDF. Didier Stevens nous a contactés pour nous apporter une précision importante : « en mars 2008, Éric Filiol(*) parle de la commande /Launch lors de sa présentation a Black Hat Amsterdam. J'étais présent ». Didier nous indique par ailleurs qu’il avait présenté ces travaux avec Fred Raynal en octobre 2009, à hack.lu. La rectification est apportée.
Une vidéo décrit par ailleurs cette découverte :
Côté éditeurs, Adobe et FoxIT ont tous les deux rapidement indiqué qu’ils allaient enquêter sur ces brèches de sécurité. Chez FoxIt, où la faille était réellement importante, l’équipe a mis à disposition une mise à jour. Désormais, comme Adobe Reader, l'utilisateur est alerté par une boîte de dialogue.
(*) Chercheur lieutenant-colonel de l'Armée de Terre française, expert français en sécurité informatique et spécialisé en cryptologie et virologie.
Le 2 avril 2010 à 09:47
(17 855
lectures)
Il y a 38 commentaires
INpactien
Quel est l'abruti de chez Adobe qui a introduit cette fonction launch?
PDF est un format de document, pas d'application !
PDF est un format de document, pas d'application !
tu ne trouves pas pratique le fait de pouvoir lancer ton butineur préféré en cliquant sur un lien dans un document pdf par exemple, à priori ça utilise la même fonctionalité ?
Edité par Origami le vendredi 2 avril 2010 à 10:33
INpactien
tu ne trouves pas pratique le fait de pouvoir lancer ton butineur préféré en cliquant sur un lien dans un document pdf par exemple, à priori ça utilise la même fonctionalité ?
Justement, un fonctionnement similaire à celui des navigateurs serait plus approprié : l'élément cliquable serait une URL, et c'est à la charge du lecteur PDF de demander à l'utilisateur comment ouvrir le lien en fonction du mimetype.
Perso ça me choque qu'un document puisse exécuter un programme.
INpactien
Le PDF est un format de documents, on est d'accord.
La question que je me pose est la suivante :
Est-ce que cette faille est valable aussi avec le PDF/A (version 1.4, je crois, destinée à l'archivage) ?
La question que je me pose est la suivante :
Est-ce que cette faille est valable aussi avec le PDF/A (version 1.4, je crois, destinée à l'archivage) ?
INpactien
Quel est l'abruti de chez Adobe qui a introduit cette fonction launch?
PDF est un format de document, pas d'application !
PDF est un format de document, pas d'application !
Tout faux tu as
Edité par benco le vendredi 2 avril 2010 à 11:22
INpactien
tu ne trouves pas pratique le fait de pouvoir lancer ton butineur préféré en cliquant sur un lien dans un document pdf par exemple, à priori ça utilise la même fonctionalité ?
Non moi je mets le lien en surbrillance, un petit raccourci clavier, et ça me lance mon butineur préféré (ou un autre, en fonction du raccourci/commande tapée) avec la page ouverte.En plus si je veux aller sur le site racine, j'ai juste à mettre la partie jusqu'au .com/.net/.org/... en surbrillance et ça roule.
Pour moi un lecteur pdf, doit lire des pdf.
INpactien
Niagarafall
Le vendredi 2 avril 2010 à 11:45:25
#16
Inscrit
le mercredi 6 février 08
-
28
commentaires
Preuve de la faille:
http://seclabs.org/fred/docs/sstic09/samples/actions/launch/calc.pdf
Testez votre lecteur PDF..
J'utilise PDF-Xchange Viewer et une alerte est bien lancée à l'ouverture du document. ;)
http://seclabs.org/fred/docs/sstic09/samples/actions/launch/calc.pdf
Testez votre lecteur PDF..
J'utilise PDF-Xchange Viewer et une alerte est bien lancée à l'ouverture du document. ;)
INpactien
Le PDF est un format de documents, on est d'accord.
La question que je me pose est la suivante :
Est-ce que cette faille est valable aussi avec le PDF/A (version 1.4, je crois, destinée à l'archivage) ?
La question que je me pose est la suivante :
Est-ce que cette faille est valable aussi avec le PDF/A (version 1.4, je crois, destinée à l'archivage) ?
A priori non puisque le PDF/A est épuré de toutes les fonctionnalités dynamiques du PDF, pour n'avoir plus qu'un document statique. Mais effectivement il serait très intéressant d'avoir une réponse sur le sujet.
INpactien
Preuve de la faille:
http://seclabs.org/fred/docs/sstic09/samples/actions/launch/calc.pdf
Testez votre lecteur PDF..
J'utilise PDF-Xchange Viewer et une alerte est bien lancée à l'ouverture du document. ;)
http://seclabs.org/fred/docs/sstic09/samples/actions/launch/calc.pdf
Testez votre lecteur PDF..
J'utilise PDF-Xchange Viewer et une alerte est bien lancée à l'ouverture du document. ;)
Sur ma machine du boulot sous WinXP, Adobe Reader 7.0 m'affiche un popup disant "Impossible d'ouvrir le fichier ." avec juste un bouton "OK", et ne lance pas calc après un clic sur le bouton (mais le document s'affiche bien).
INpactien
Chercheur lieutenant-colonel de l'Armée de Terre française, expert français en sécurité informatique et spécialisé en cryptologie et virologie.
C'est possible ça ?
INpactien
Preuve de la faille:
http://seclabs.org/fred/docs/sstic09/samples/actions/launch/calc.pdf
Testez votre lecteur PDF..
J'utilise PDF-Xchange Viewer et une alerte est bien lancée à l'ouverture du document. ;)
http://seclabs.org/fred/docs/sstic09/samples/actions/launch/calc.pdf
Testez votre lecteur PDF..
J'utilise PDF-Xchange Viewer et une alerte est bien lancée à l'ouverture du document. ;)
Rien avec okular. xcalc n'est pas exécuté.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
GPU-Z 0.7.1 : les GeForce GTX 770 et 780 à l'honneur
(1)
Et les GPU des APU d'AMD aussi -
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
20 % de remise sur des périphériques Trust
Valable jusqu'au 26 mai -
Sleeping Dogs pour 12,49 €
Valable jusqu'au 27 mai -
SimCity, Les Sims 3 et le DLC Saisons pour 59,99 €
Valable jusqu'au 29 mai -
Une Xbox 360 de 4 Go offerte pour l'achat d'un portable ASUS Vivobook
Valable jusqu'au 26 mai
