Logiciel Foxit a publié une mise à jour pour permettre aux utilisateurs de repérer plus facilement les fichiers PDF susceptibles de contenir du contenu malveillant. Aussi, Pomme a publié de nouvelles versions de Quick Time et iTunes qui corrigent près de deux douzaines de problèmes de sécurité dans ces programmes.
Le mois dernier, le chercheur Didier Steven a dit qu’il découvert qu’il pourrait intégrer un fichier exécutable – tel qu’un programme malveillant – à l’intérieur d’un fichier PDF. Pire encore, Stevens a découvert que les lecteurs PDF de Systèmes Adobe et Foxit contenait une fonctionnalité qui exécutait ces fichiers intégrés sur demande, dans certains cas sans même avertir l’utilisateur.
Stevens a découvert que lorsqu’il a déclenché la fonctionnalité dans Adobe Reader, le programme émet un avertissement indiquant que le lancement de code pourrait endommager l’ordinateur (bien qu’il ait également découvert qu’il pouvait modifier le contenu de cet avertissement dans Adobe Reader).
Foxit, cependant, n’a affiché aucun avertissement et a exécuté l’action sans l’approbation de l’utilisateur. Selon Stevens, le correctif Foxit livré la semaine dernière modifie le lecteur afin qu’il avertisse désormais les utilisateurs si un document PDF tente de lancer un programme intégré.
Contrairement aux attaques précédentes sur les lecteurs PDF – qui peuvent généralement être bloquées en sélectionnant l’option de désactivation de Javascript dans les programmes – cette attaque exploite les fonctionnalités intégrées à ces lecteurs. Adobe Reader contient une option pour désactiver l’ouverture des pièces jointes non PDF avec des applications externes (sous Préférences, cliquez sur Trust Manager, puis décochez la case en haut de la fenêtre suivante). Cependant, je n’ai trouvé aucune option de ce type dans Foxit.
Si vous utilisez Foxit, veuillez mettre à niveau vers cette dernière version, qui est v.3.2.1.0401. Pour mettre à jour, cliquez sur le menu Aide, puis sur Rechercher les mises à jour maintenant, ou téléchargez le dernier programme d’installation à partir de ce lien ici. Et si vous voyez un avertissement comme celui ci-dessus, il peut être judicieux de cliquer sur le bouton « Ne pas ouvrir ».
Dans d’autres nouvelles sur les correctifs, Apple a publié une mise à jour de sécurité pour ses lecteurs multimédias QuickTime et iTunes. La mise à jour QuickTime, version 7.6.6corrige au moins 16 failles de sécurité affectant les deux Mac et les fenêtres systèmes. iTunes 9.1 adresses au moins sept failles de sécurité pour les versions OS X et Windows. Les correctifs sont disponibles via la mise à jour logicielle sur Mac, via le package de mise à jour logicielle Apple fourni avec iTunes/QuickTime sous Windows, ou via Téléchargements Apple.