Adobe prépare encore des correctifs pour Reader et Acrobat

De nouvelles failles mettent à mal la sécurité des logiciels Adobe dédiés à la création et la lecture de son format PDF. Ce dernier n'est pas épargné puisqu'une astuce permet d'exploiter ces documents pour installer un programme non désiré.

Adobe annoncera ce jeudi 8 avril les correctifs qu'il entend livrer la semaine prochaine pour son logiciel PDF dans le cadre de son calendrier de mise à jour de sécurité trimestriel. Ils font suite à l'appel pressant d'Adobe, qui exhortait hier les utilisateurs à renforcer les protections de Reader et d'Acrobat pour se protéger contre des attaques de type no-bug-necessary. L'éditeur a également indiqué qu'il pourrait livrer un patch corrigeant un défaut de conception du PDF, permettant aux hackers d'introduire un code exécutable sur un PC tournant sous Windows à partir d'un document trafiqué, et cela sans exploiter une faille réelle du logiciel. Il est cependant peu probable que ce correctif soit livré la semaine prochaine. Les patchs seront disponibles le mardi 13 avril, en même temps que les mises à jour de Windows et autres annoncées par Microsoft. Selon la société danoise Secunia qui réalise le suivi des bugs, officiellement, il n'existe pas de vulnérabilités de sécurité non patchées dans Adobe Reader et Acrobat. Les mises à jour prévues la semaine prochaine viennent donc résoudre des vulnérabilités confidentielles ou des bugs découverts par les propres ingénieurs en sécurité d'Adobe.

Reste le problème de conception du PDF. La semaine dernière, Didier Stevens, un chercheur belge, a montré comment une attaque menée en plusieurs étapes et utilisant la spécification « / Launch » du PDF pouvait exploiter avec succès une version patchée d'Adobe Reader. La technique de Didier Stevens qui n'a pas besoin d'exploiter une vulnérabilité sous-jacente d'Adobe Reader, est axée sur une approche d'ingénierie sociale trompant les utilisateurs pour les inciter à ouvrir un fichier PDF malveillant. Bien que Reader et Acrobat affichent un avertissement quand un exécutable est lancé depuis un fichier PDF, le chercheur a trouvé le moyen de modifier partiellement l'alerte afin de tromper la victime et de l'amener à valider l'action. Cette méthode, des pirates peuvent très bien l'exploiter sur une version à jour de Reader. La semaine dernière, Adobe a reconnu que la stratégie de Didier Stevens utilisait une fonction légitime intégrée dans Reader et Acrobat, et a déclaré qu'elle regardait ça de près, sans dire si elle envisageait de mettre à jour son logiciel en conséquence. Hier, l'éditeur a fait savoir qu'il n'excluait pas de livrer un patch. «Nous réfléchissons aux différentes options pour mieux protéger les utilisateurs, » a déclaré Wiebke Lips, la porte-parole d'Adobe.

Mardi, Steve Gottwals, chef de produit pour le groupe, a déclaré dans un blog que les utilisateurs comme les administrateurs informatiques pouvaient bloquer les attaques « à la Stevens » en désactivant l'option appliquée par défaut « Autoriser l'ouverture de pièces jointes non PDF avec des applications externes » dans les préférences des logiciels.