La dernière mise à jour d'Adobe Reader et d'Adobe Acrobat ne fixerait pas complètement la vulnérabilité qui avait permis à des pirates d'exploiter les fonctions « / Launch », utilisées pour forcer l'exécution d'un autre logiciel à partir d'un document PDF. C'est Didier Stevens, le chercheur belge spécialisé en sécurité, celui qui avait découvert la faille en mars dernier, qui l'affirme. Le patch livré mardi par Adobe corrige 17 vulnérabilités dans les logiciels de visualisation et de création de fichiers PDF, dont ce problème de conception qui offrait aux attaquants un moyen facile d'exécuter des logiciels malveillants par les utilisateurs. Mais en partie seulement. Combinée à une autre astuce - Didier Stevens a montré comment un message d'alerte dans Reader pouvait tromper ultérieurement les utilisateurs - la faille pourrait encore être utilisée pour inciter les utilisateurs à exécuter des malware en les faisant passer pour des logiciels légitimes. Les pirates ont utilisé la technique décortiquée par le chercheur dans des attaques de masse pour infecter des PC sous Windows depuis la mi-avril.

Une liste noire comme palliatif

Dimanche, Didier Stevens a confirmé que le patch ne corrigeait pas cette faille. « Après quelques recherches, j'ai découvert qu'Adobe avait intégré une liste noire d'extensions pour contrer le déclenchement, mais que la fonctionnalité identifiait le fichier « 'cmd.exe' » comme étant de type « .exe' » et non comme .exe, » a-t-il écrit sur son blog le 4 juillet. « Les attaquants peuvent toujours détourner un document PDF et l'inciter à exécuter des logiciels malveillants, simplement en encadrant le nom du fichier par un guillemet simple ou double, » explique Didier Stevens.

Une faille confirmée par un chercheur vietnamien

Le Mahn Tung, chercheur à Bach Khoa Internetwork Security (BKIS), un département de l'Université de Technologie de Hanoi au Vietnam, a aussi remarqué qu'Adobe n'avait pas correctement corrigé ce bug. Sur son blog, Didier Stevens a même concocté une solution de contournement pour éviter les attaques qui parviennent à se soustraire à la liste noire d'Adobe. Sauf que sa solution de contournement implique la modification du Registry de Windows, une manipulation que la plupart des utilisateurs ne voudra pas réaliser.

[[page]]

Adobe a reconnu que sa liste noire n'était pas infaillible, et indiqué qu'elle étudiait les techniques de contournement proposées par Le Mahn Tung et Didier Stevens. «L'introduction d'une liste noire n'est pas à elle seule une solution parfaite pour se défendre contre ceux qui ont l'intention de nuire, mais cette option réduit néanmoins le risque d'attaque, » a déclaré Brad Arkin, directeur de la sécurité et de la confidentialité produits chez d'Adobe sur le blog de l'entreprise qui traite des questions de sécurité. « Nous allons évaluer la solution de contournement de Le Mahn Tung pour déterminer si nous devons apporter des modifications supplémentaires à la liste noire, » a-t-il ajouté. De son côté, Didier Stevens fait remarquer qu'« Adobe a corrigé la faille relative au message d'avertissement, de manière à empêcher les pirates à le modifier et limiter les chances de voir un utilisateur piégé par leurs stratagèmes. » Brad Arkin signale également. Que « le message d'alerte qui s'affiche contient un libellé très explicite recommandant aux utilisateurs de n'ouvrir ou de n'exécuter un fichier uniquement s'ils sont sûrs de sa source. » Le patch de la semaine dernière a également modifié Reader et Acrobat de façon à ce que la fonction /Launch soit désactivée par défaut, obligeant les utilisateurs qui veulent disposer de cette fonctionnalité à l'activer manuellement. Dans les éditions précédentes, /Launch était activée par défaut.

Les mises à jour du Reader et d'Acrobat pour Windows, Mac et Linux peuvent être téléchargées en utilisant les liens inclus dans les avis de sécurité diffusés par Adobe la semaine dernière. Les utilisateurs peuvent aussi enclencher le mécanisme de mise à jour intégré, accessible à partir de chacun des logiciels.