Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Wednesday 20 February 2008
0 comment(s) | Subnetwork France

Le 7 février, Adobe a publié une nouvelle version de son célèbre et populaire lecteur de fichiers PDF, Adobe Reader. Estampillée 8.1.2, cette énième mouture avait pour objectif de résoudre des problèmes de stabilité mais également de combler trois trous de sécurité sur lesquels Adobe est resté relativement évasif, ne divulguant que très peu de détails à leur sujet.

Trend Micro rapporte que l'une de ces vulnérabilités a été activement exploitée par des attaquants distants pendant au moins trois semaines avant sa correction. Le plus embêtant est que Adobe est d'une certaine manière coupable de cette exploitation, car en réalité, dès octobre 2007, l'éditeur a eu vent de la faille. Aucune action correctrice n'a donc été engagée pendant plusieurs mois et il aura fallu attendre la publication d'un code exploit dans un forum italien pour que Adobe daigne réagir.

Depuis le 20 janvier, via des bannières publicitaires (iframes malicieuses) ou des spams, un fichier PDF malicieux capable d'exploiter ladite vulnérabilité a été diffusé, avec pour mission de se connecter à un serveur distant hébergeant divers malwares. La vulnérabilité serait imputable à l'analyseur de code JavaScript embarqué dans le document PDF pour un exploit qui affecte Adobe Reader 8.1.1 et ses versions antérieures.

Adobe recommande fortement aux utilisateurs concernés de mettre à jour leur version pour se prémunir de tout risque. Il est cependant malheureux d'observer que comme cela est bien trop souvent le cas, même informés de la présence d'une vulnérabilité, nombre d'éditeurs préfèrent attendre les premiers rapports d'exploitation avant de réagir plus ou moins rapidement dès lors.

L'avis de sécurité d'Adobe
http://www.adobe.com/support/security/advisories/apsa08-01.html