Adobe exhorte les utilisateurs de son Lecteur PDF et Acrobate logiciel pour installer une mise à jour qui corrige quelques failles de sécurité critiques dans les produits. Les correctifs viennent au milieu des nouvelles selon lesquelles les fichiers PDF piégés étaient responsables d’environ 80% des exploits détectés au 4ème trimestre 2009.
La dernière mise à jour apporte Adobe Reader à version 9.3.1et corrige une paire de vulnérabilités qu’Adobe a qualifié de « critique », ce qui signifie que les failles pourraient être utilisées pour installer des logiciels malveillants sur des systèmes vulnérables. Des mises à jour sont disponibles pour les fenêtres, Mac et Linux versions.
Si vous utilisez Adobe Reader, veuillez appliquer cette mise à jour. Ensuite, prenez un moment pour désactiver Javascript, la fonctionnalité de Reader la plus exploitée par les attaquants. Pour ce faire, suivez ces instructions :
1. Lancez Acrobat ou Adobe Reader.
2. Sélectionnez Edition>Préférences
3. Sélectionnez la catégorie JavaScript
4. Décochez l’option « Activer Acrobat JavaScript »
5. Cliquez sur OK
Mieux encore, envisagez d’utiliser un lecteur PDF alternatif, tel que le logiciel gratuit Lecteur Foxit. Je désactive également Javascript dans Foxit, principalement parce que je trouve que je n’en ai pas besoin.
Plus tôt cette semaine, la société de sécurité Web ScanSafe a publié un rapport (.pdf !) montrant qu’environ 80 % des exploits Web détectés au cours des trois derniers mois de 2009 attaquaient les vulnérabilités d’Adobe Reader. Ajoutez les vulnérabilités d’Adobe Flash dans le mélange, et les deux programmes constituaient la part du lion des exploits Web que ScanSafe a détectés dans Q409.
Source : ScanSafe
Pour sa part, Firefox fabricant MozillaComment à la fin de l’année dernière a commencé à suivre une énorme augmentation du nombre de plantages de Firefox dus à Adobe Reader. Comme certaines affiches à cette entrée de la base de données de bogues Mozilla postulons que les plantages étaient presque certainement dus à une exploitation accrue de la vulnérabilité du jour zéro d’Adobe Reader qu’Adobe a finalement corrigée le 12 janvier, des semaines après que des preuves ont fait surface que des pirates criminels exploitaient la faille dans des attaques ciblées.
Mise à jour, 16 h 06 HE : Si vous décidez de vous passer d’Adobe Reader et de le désinstaller, vous souhaiterez peut-être également supprimer Adobe Download Manager. Chercheur Aviv Raff souligne un travail astucieux qu’il a fait qui montre que le gestionnaire de téléchargement d’Adobe – qui est livré avec toutes les nouvelles versions de Flash et Reader – peut être forcé de réinstaller une application qui a été supprimée, telle que Reader. Selon Raff, un site Web pourrait détourner le gestionnaire de téléchargement d’Adobe pour télécharger et installer l’un des éléments suivants :
Adobe Flash 10
- Adobe Reader 9.3
- Adobe Reader 8.2
- Adobe Air 1.5.3
- Outil ARH – permet une installation silencieuse des applications Adobe Air
- Barre d’outils Google 6.3
- Analyse de sécurité McAfee Plus
- Lecteur du New York Times (via Adobe Air)
- Base de fans (via Adobe Air)
- Raccourci du bureau Acrobat.com
Raff écrit : « Ainsi, même si vous utilisez un lecteur PDF alternatif, un attaquant peut vous forcer à télécharger et à installer Adobe Reader, puis à exploiter la vulnérabilité (encore à corriger, mais désormais connue). L’attaquant peut également exploiter les vulnérabilités 0-day dans l’un des autres produits mentionnés ci-dessus. En savoir plus sur ses découvertes sur ce lien ici.