Adobe avertit d'une faille dans Reader déjà exploitée sous Windows
La version X bloque l'exploitation
Adobe a publié un nouveau bulletin au sujet de son lecteur de documents PDF, Reader. Il concerne une faille critique qui est en fait déjà exploitée selon l’éditeur.
Le problème se situe dans la gestion des données U3D. Ces dernières servent à afficher du contenu 3D dans un document. Or, les documents PDF peuvent intégrer nativement ce type de données. Via l’ajout de données spécialement conçues, l’attaquant peut parvenir à une corruption de la mémoire menant, en bout de chaine, à l’exécution d’instructions arbitraires.
Adobe indique dans son bulletin avoir déjà repéré des cas d’exploitation de cette faille. Dans pratiquement tous les cas, les attaques visent la version Windows de Reader. Il existe toutefois deux cas bien distincts : Adobe 9 et Adobe X. Dans le premier cas, l’exploitation fonctionne sans barrière particulière, alors que dans le second, on trouve une sandbox qui bloque efficacement l’attaque.
De fait, les priorités des correctifs changent en fonction des versions. La version 9.X sous Windows doit donc recevoir une rustine dès le 12 décembre puisqu’il y a urgence. Reader X devra pour sa part attendre le 10 janvier, date de la prochaine série trimestrielle de correctifs. Par ailleurs, même si la version Windows de l’application est pour l’instant la seule touchée par des attaques, toutes les autres moutures sont vulnérables, y compris sous UNIX et Mac OS X. Mais, là encore, il faudra attendre le 10 janvier.
Le problème se situe dans la gestion des données U3D. Ces dernières servent à afficher du contenu 3D dans un document. Or, les documents PDF peuvent intégrer nativement ce type de données. Via l’ajout de données spécialement conçues, l’attaquant peut parvenir à une corruption de la mémoire menant, en bout de chaine, à l’exécution d’instructions arbitraires.
Adobe indique dans son bulletin avoir déjà repéré des cas d’exploitation de cette faille. Dans pratiquement tous les cas, les attaques visent la version Windows de Reader. Il existe toutefois deux cas bien distincts : Adobe 9 et Adobe X. Dans le premier cas, l’exploitation fonctionne sans barrière particulière, alors que dans le second, on trouve une sandbox qui bloque efficacement l’attaque.
De fait, les priorités des correctifs changent en fonction des versions. La version 9.X sous Windows doit donc recevoir une rustine dès le 12 décembre puisqu’il y a urgence. Reader X devra pour sa part attendre le 10 janvier, date de la prochaine série trimestrielle de correctifs. Par ailleurs, même si la version Windows de l’application est pour l’instant la seule touchée par des attaques, toutes les autres moutures sont vulnérables, y compris sous UNIX et Mac OS X. Mais, là encore, il faudra attendre le 10 janvier.
Source :
Adobe
Vincent Hermann
le 7 décembre 2011 à 15:04
(6 836
lectures)
Actualités et brèves relatives
- 30 / 11 / 2011 : Le HTML5 envahit davantage le stockage SkyDrive de Microsoft
- 09 / 11 / 2011 : Adobe licenciera 750 employés et abandonnera Flash sur mobile
- 05 / 07 / 2011 : Mozilla progresse rapidement sur son lecteur PDF intégré
- 17 / 06 / 2011 : Mozilla développe son propre moteur de rendu PDF
- 22 / 04 / 2011 : Adobe colmate ses brèches de sécurité dans Reader et Acrobat
- 12 / 04 / 2011 : Flash : une nouvelle faille critique touche toutes les versions
- 29 / 03 / 2011 : Des publicités malveillantes dans la version gratuite de Spotify
- 17 / 03 / 2011 : Adobe : une faille critique 0-day dans Flash et Reader
