etko D. Petkov, le chercheur expert en sécurité qui avait découvert le 12 septembre dernier la faille Quicktime sous Firefox, récidive avec le format PDF. Sur son blog, le chercheur affirme avoir trouvé une faille critique qui pourrait mettre en danger le PC de l'utilisateur qui lira le document PDF infecté sous Acrobat Reader d'Adobe.
Adobe « Il suffit simplement d'ouvrir un document PDF et de lire la page intégrant le virus » explique Petkov. Le problème est vérifié et confirmé avec Acrobat Reader 8.1 sous Windows XP SP2, et d'autres versions pourraient bien sûr être concernées.
Heureusement, le bidouilleur refuse de publier le code d'exploitation de la faille PDF avant qu'Adobe n'ait publié un patch comblant le trou de sécurité en question. Il faut dire que cette faille est plutôt critique, car le format PDF est l'un des plus répandus chez les utilisateurs, notamment professionnels.
Selon un autre expert en sécurité qui a pu toucher au code de Petkov, la faille en question est plus importante que les précédentes du même genre, qui ne touchaient que certaines versions du lecteur PDF d'Adobe : « cela affecte toutes les versions, c'est un problème architectural inhérent à la manière dont les fichiers sont lus » explique Andrew Storms, responsable sécurité chez nCircle Network Security. ------------------------------------------------
Démonstration en PDF (nan je plaisante) en vidéo ici :
> etko D. Petkov, le chercheur expert en sécurité qui avait découvert le > 12 septembre dernier la faille Quicktime sous Firefox, récidive avec > le format PDF. Sur son blog, le chercheur affirme avoir trouvé une > faille critique qui pourrait mettre en danger le PC de l'utilisateur > qui lira le document PDF infecté sous Acrobat Reader d'Adobe. > Adobe « Il suffit simplement d'ouvrir un document PDF et de lire la > page intégrant le virus » explique Petkov. Le problème est vérifié et > confirmé avec Acrobat Reader 8.1 sous Windows XP SP2, et d'autres > versions pourraient bien sûr être concernées. > Heureusement, le bidouilleur refuse de publier le code d'exploitation > de la faille PDF avant qu'Adobe n'ait publié un patch comblant le > trou de sécurité en question. Il faut dire que cette faille est > plutôt critique, car le format PDF est l'un des plus répandus chez > les utilisateurs, notamment professionnels. > Selon un autre expert en sécurité qui a pu toucher au code de Petkov, > la faille en question est plus importante que les précédentes du même > genre, qui ne touchaient que certaines versions du lecteur PDF > d'Adobe : « cela affecte toutes les versions, c'est un problème > architectural inhérent à la manière dont les fichiers sont lus » > explique Andrew Storms, responsable sécurité chez nCircle Network > Security. ------------------------------------------------ > Démonstration en PDF (nan je plaisante) en vidéo ici : > http://www.gnucitizen.org/projects/0day … ws/poc.wmv
N'aboutit pas non plus !
***
C'est une raison de plus d'utiliser Foxit Reader, bien plus léger que la daube. -- Jacquouille la Fripouille
Nina Popravka a écrit : > On Sat, 22 Sep 2007 19:51:42 +0200, DePassage > wrote: >> Cela fonctionnait ces derniers jours et meme aujourd'hui > Oui, j'suis allée tout de suite après que tu aies donné le lien.
Oufff ! Merci ! J'ai cru un moment que j'avais été la cible d'hallucinations
Bon ca mérite bien quelques paires de boots en pj :-)
*Bonjour DePassage* Tu as pianoté sur ton clavier dans pour écrire ceci :
> Nina Popravka a écrit : >> On Sat, 22 Sep 2007 19:51:42 +0200, DePassage >> wrote: >>>> Cela fonctionnait ces derniers jours et meme aujourd'hui >>> Oui, j'suis allée tout de suite après que tu aies donné le lien. > Oufff ! Merci ! J'ai cru un moment que j'avais été la cible > d'hallucinations > Bon ca mérite bien quelques paires de boots en pj :-)
Ça a bougé ! IE6 refuse de l'ouvrir avec un message d'injure. Par contre ça s'ouvre avec Firefox. Mais j'y bitte que dalle. Ciao -- Jacquouille la Fripouille
Le 23/09/2007 00:49, Jacquouille la Fripouille disait: > Ça a bougé ! IE6 refuse de l'ouvrir avec un message d'injure. Par contre > ça s'ouvre avec Firefox.
Perso ça me demande de choisir le programme pour .wmv ---> vlc donc
> Mais j'y bitte que dalle.
L'ouverture du .pdf piégé permet de lancer calc.exe ou notepad. Test ici: http://www.nthelp.com/test.pdf Donc: désactiver Javascript dans Adobe Reader suffirait (Édition/Préférences)
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
Steph a écrit : > Le 23/09/2007 00:49, Jacquouille la Fripouille disait: >> Ça a bougé ! IE6 refuse de l'ouvrir avec un message d'injure. Par contre >> ça s'ouvre avec Firefox. > Perso ça me demande de choisir le programme pour .wmv ---> vlc donc
Ca passe aussi avec Media Player Classic et The KMPLayer :-)
>> Mais j'y bitte que dalle. > L'ouverture du .pdf piégé permet de lancer calc.exe ou notepad. > Test ici: http://www.nthelp.com/test.pdf > Donc: désactiver Javascript dans Adobe Reader suffirait > (Édition/Préférences)
Ce qui m'étonnes c'est que BitDefender a déja dans sa base cette faille.
"Cette page Internet a été bloquée par la protection en temps réel du module Antivirus de BitDefender ! La page Web bloquée contenait des éléments infectés ou susceptibles d'être infectés par un Virus. Votre système n'a PAS été infecté."
Idem pour McAfee et "Fortinet" suivant le site "virustotal" si on soumet le .pdf
Il est vrai que la faille a un semblant avec celle déja trouvée du lien Html etc au sein d'un PDF
Sinon le lecteur PDF a un impact, puisqu'en désactivant Bitdefender, je peux lire avec "Sumatra" sans déclencher le piège.
Nina Popravka a écrit : > On Sun, 23 Sep 2007 10:51:44 +0200, DePassage > wrote: >> Sinon le lecteur PDF a un impact, puisqu'en désactivant Bitdefender, je >> peux lire avec "Sumatra" sans déclencher le piège. > Probablement qu'il ne gère pas javascript, tout simplement.
Oui c'est tout a fait cela.
Mais dans les premiers messages du blog, le "découvreur" de la faille malgré les questions, ne parlait que d'Adobe reader et on avait l'impression que c'était juste une faille essentiellement liée aux PDF ET aux lecteurs (ce qui est le cas quand même mais tout dépend de ce que l'on utilise pour les lire pour activer ou non les pièges dissimulés)
On Sun, 23 Sep 2007 11:06:48 +0200, DePassage wrote:
>Mais dans les premiers messages du blog, le "découvreur" de la faille >malgré les questions, ne parlait que d'Adobe reader et on avait >l'impression que c'était juste une faille essentiellement liée aux PDF >ET aux lecteurs (ce qui est le cas quand même mais tout dépend de ce que >l'on utilise pour les lire pour activer ou non les pièges dissimulés)
Enfin autant que je puisse comprendre, le truc est con comme la lune : le PDF passe en mode plein écran, donc tu vois pas que c'en est un, et le javascript qui est dedans s'exécute, ou pas, selon la manière dont tu as réglé ton lecteur... Ce qui serait intéressant à savoir, c'est si les lecteurs sont capables de juger de la dangerosité d'un script. -- Nina
Nina Popravka a écrit : > On Sun, 23 Sep 2007 11:06:48 +0200, DePassage > wrote: >> Mais dans les premiers messages du blog, le "découvreur" de la faille >> malgré les questions, ne parlait que d'Adobe reader et on avait >> l'impression que c'était juste une faille essentiellement liée aux PDF >> ET aux lecteurs (ce qui est le cas quand même mais tout dépend de ce que >> l'on utilise pour les lire pour activer ou non les pièges dissimulés) > Enfin autant que je puisse comprendre, le truc est con comme la lune :
Ah.. Je vois que je ne suis pas le seul à être arrivé à cette conclusion :-) Du reste je m'étonne que depuis la faille .html aucun créateur de malware n'ai pensé à cela.
En tous les cas plus je lis la page du "découvreur" plus j'ai l'impression qu'il ne fait que rapporter ce qu'on lui a décrit La mise en pratique ensuite n'est qu'un jeu d'enfant.
> le PDF passe en mode plein écran, donc tu vois pas que c'en est un, et > le javascript qui est dedans s'exécute, ou pas, selon la manière dont > tu as réglé ton lecteur... > Ce qui serait intéressant à savoir, c'est si les lecteurs sont > capables de juger de la dangerosité d'un script.
Ben.. non Du reste ce n'est pas leur rôle (enfin à mon humble avis) sinon on empiète sur le domaine de la sécurité et des sociétés comme Adobe pensent "fonctionnalités" avant tout parce qu'ils ont un businness à faire tourner. Les corrections viennent ensuite. (Je ne dis pas qu'ils ne peuvent pas, mais leur optique et façon de voir les choses est différente)
Passé simple de l'imparfait a écrit : > On Sun, 23 Sep 2007 02:07:28 +0200, Steph > wrote: >> L'ouverture du .pdf piégé permet de lancer calc.exe ou notepad. >> Test ici: http://www.nthelp.com/test.pdf > Comment on fait pour lancer calc avec ca ? > Ou un messagebox perso ?
"If you get a popup javascript window that says "??evil javascript alert"? you need to disable javascript in your pdf viewer.
For the adobe viewer go to edit/preferences/javascript and uncheck the checkbox then if you see my webpage you need to disable something but Iâ??ve not been able to find it again.
If you do then please let me know where the switch is so I can add it to this document.
Passé simple de l'imparfait a écrit : > On Sun, 23 Sep 2007 11:34:09 +0200, DePassage > wrote: >> Ce ex ne lance pas d'applis type "calc" > Comment fait on un exemple (meme en PDF crypté) avec Calc.exe ? > PArce que c'est un meilleur exemple qu'un truc en anglais que pas > beaucoup de gens vont comprendre.
Si l'auteur de la découverte n'a pas donné la marche à suivre c'est qu'il y a des raisons. La plus simple étant que tous les wArRiOrsHaCkersReBeLs en herbe s'en donneraient à coeur joie pour piéger tout ce qu'il leur tombe sous la main et pas qu'avec un "calc" Ensuite si tu n'as aucune idée du "comment" et que tu as du mal avec l'anglais, le plus sage étant juste de savoir que la faille existe et de s'en prémunir non ?
*Bonjour P@skal* Tu as pianoté sur ton clavier dans pour écrire ceci :
> "Jacquouille la Fripouille" > écrivait : >>> Mais je répète que pour ne pas subir les failles d'Acrobat Reader, il >> faut utiliser Foxit Reader. > T'es certain ?!
On en a parlé il y a quelques mois sur un NG. En tout cas, depus je ne me sers plus que de Foxit, sauf pour les PDF remplissables qu'Adobe imprime correctement, au contraire de Foxit. -- Jacquouille la Fripouille
Le Wed, 26 Sep 2007 01:34:08 +0200, "Jacquouille la Fripouille" a ecrit:
>On en a parlé il y a quelques mois sur un NG. En tout cas, depus je ne >me sers plus que de Foxit, sauf pour les PDF remplissables qu'Adobe >imprime correctement, au contraire de Foxit.
Je n'ai eu aucun bug avec Adobe Acrobat alors que j'en ai eu sous Foxit... Maintenant, je suis assez d'accord avec toi qu'utiliser des logiciels que la majorité des gens n'utilisent pas, c'est forcément diminuer le risque d'infection.
Ludovic a écrit : > Le Wed, 26 Sep 2007 01:34:08 +0200, "Jacquouille la Fripouille" a ecrit: >> On en a parlé il y a quelques mois sur un NG. En tout cas, depus je ne >> me sers plus que de Foxit, sauf pour les PDF remplissables qu'Adobe >> imprime correctement, au contraire de Foxit.
On en revient à l'utilisation que l'on fait de telle ou telle application.
Pour une majorité d'utilisateurs, ils ne font QUE lire les .pdf. D'autres dans un cadre différent ont besoin d'une impression et cela change tout
> Je n'ai eu aucun bug avec Adobe Acrobat alors que j'en ai > eu sous Foxit... Maintenant, je suis assez d'accord avec toi > qu'utiliser des logiciels que la majorité des gens n'utilisent > pas, c'est forcément diminuer le risque d'infection.
Les failles exploitées ne sont pas liées pour ce cas précis au programme de lecture le plus connu, mais à ses "features". Si il n'y a pas d'utilisation de scripts, on n'est pas infecté.
Sinon il y a "Sumatra" comme lecteur rudimentaire
Vulnerabilite.com ne peut être tenu responsable des propos tenus dans le Newsgroup fr.comp.securite.virus
Message de Jacquouille La Fripouille (jacquouille@orangina.fr.invalid) (22 Septembre 2007)
