Deux failles de sécurité viennent d'être révélées dans les produits les plus utilisés d'Adobe : Adobe Reader and Adobe Acrobat. Elles affectent les versions 7.0 et 7.0.1 pour Mac OS.

au sommaire


    Deux failles affectent Acrobat et Adobe Reader pour Macintosh

    Deux failles affectent Acrobat et Adobe Reader pour Macintosh

    La première faille réside dans l'introduction d'un code javascript piégé dans un document PDF. Il est alors possible dans certaines circonstances de faire exécuter un programme arbitraire sur l'ordinateur de l'utilisateur. Adobe signale que le risque est minimisé par le fait qu'il faut que le script connaisse le nom et le chemin exact du répertoire de l'exécutable. Toutefois comme la plupart des exécutables sont toujours rangés dans des répertoires standardisés cet argument ne paraît pas très convaincant. En outre on peut imaginer une attaque en deux temps : installation d'un cheval de Troiecheval de Troie, puis utilisation d'un fichier PDF piégé pour l'exécuter. Pour le moment le Mac OS est une cible relativement peu menacée, mais jusqu'à quand ?

    La deuxième faille se situe dans le programme de mise à jour. Lors du télécharement il élève les autorisations d'un répertoire de Safari (Framework). Il peut même dans certains cas créer un répertoire ayant une autorisation pour tous les utilisateurs. Ce répertoire peut alors servir de base pour une attaque.

    Solution

    Passer à la version 7.0.2.