Acrobat Reader, QuickTime, OpenOffice : succession de failles et de correctifs
Adobe est prêt à livrer Acrobat Reader 7.0.9 – Quick Time présente une
vulnérabilité non corrigée – OpenOffice répare une faille repérée il y a quatre
mois.
Adobe devrait livrer dans le courant de la semaine un correctif pour Acrobat Reader 7.0.8 et les versions antérieures. Le plug in de lecture de fichiers PDF est affecté d’une vulnérabilité (APSA07-01) qui permet à un attaquant d’injecter du code Javascript dans le navigateur de l’internaute en l’amenant à visiter une page Web frauduleuse.
Découverte en décembre 2006 par le développeur Stefano Di Paola, animateur du site Wisec.it, et référencée par Adobe le 4 janvier 2007, la faille est de type Cross Site Scripting (XSS). Elle autorise un pirate à récupérer les cookies de sa victime (ce qui permet notamment de connaître les sites habituellement visités) et potentiellement d’installer des logiciels malicieux. La faille est référencée comme « modérément critique » par le spécialiste en sécurité Secunia.
Adobe préconise la mise à jour vers la version 8 d’Acrobat Reader comme solution de protection. Mais les utilisateurs qui ne peuvent pas effectuer cette mise à jour devront patienter encore quelques jours, le temps que Acrobat Reader 7.0.9 fasse son apparition. Cette faille est indépendante du navigateur. Firefox et Internet Explorer y seront également sensibles sous Windows comme sous Linux. Mac OS X n’est apparemment pas affecté.
Alerte sur Quick Time
En revanche, le logiciel Quick Time d’Apple est de nouveau victime d’une faille découverte en début d’année et que l’on jugera critique selon la description qu’en donne l’US-CERT.
Le service de sécurité informatique du gouvernement américain estime que la vulnérabilité permet à un attaquant d’exécuter du code arbitraire sur la machine affectée. Aussi bien sous Windows que Mac OS X, quel que soit le navigateur, et à travers le lecteur Quick Time que les applications qui exploitent le composant de lecture, dont iTunes.
La vulnérabilité se situe au niveau de l’interprétation d’une chaîne de caractères d’une adresse web utilisant le protocole Real Time Streaming Protocol (RTSP). L’US-CERT indique que l’exploitation de la faille peut également se faire à travers un plug in ou contrôle Active X ainsi que par l’intermédiaire d’un fichier associé au player Quick Time. Pour le moment, il n’existe aucun correctif. Pour se prémunir d’une éventuelle attaque, l’US-CERT recommande de désactiver le plug in Quick Time du navigateur, ainsi que l’interprétation du Javascript.
Une faille d’OpenOffice qui remontait à octobre 2006
L’organisation OpenOffice.org a en revanche corrigé une faille de sécurité qui affectait sa suite bureautique depuis… octobre 2006. Mais sa divulgation avait été très discrète jusqu’à la disponibilité d’un correctif. Jugée hautement critique par Secunia, cette vulnérabilité est liée aux formats WMF et EMF de la suite bureautique tant sous Windows que Linux et Solaris (dont l’éditeur Sun Microsystems est le principal contributeur de OpenOffice.org).
Cette faille permet l’exécution de code distant sur une machine affectée. Aucune exploitation du trou de sécurité n’a été rapportée. Microsoft, victime d’une faille similaire en décembre 2005 sur le format de fichier WMF, avait dû anticiper la publication d’un correctif pour pallier les nombreuses attaques qui en avaient découlé.