Mise à jour du 09/04/10
NB : Les commentaires sur cette mise à jour commencent [POST="5124831"]ici dans le topic[/POST]
Adobe automatise l'installation de ses mises à jour de sécurité
Pour Acrobat et Reader
Adobe va délivrer ses prochaines mises à jour de sécurité pour Reader et Acrobat de manière automatique. Autrement dit, les patchs seront téléchargés et installés de manière transparente pour l'utilisateur, sans que celui-ci ait la moindre manipulation à effectuer.
Ce nouveau processus automatisé entrera en action à partir de jeudi prochain.
Adobe indique que cette solution a été testée depuis le 13 octobre dernier auprès de quelques beta-testeurs et qu'elle a donné entière satisfaction.
La généralisation était donc naturelle - et surtout attendue par les experts en sécurité. Néanmoins, les récalcitrants pourraient désactiver cette fonctionnalité pour repasser en mode "semi-automatique" et continuer à garder le contrôle sur l'application des patch.
Avec cette annonce, et sa plus grande réactivité constatée ces dernières semaines, Adobe prouve que la sécurité est désormais une de ses préoccupations principales.
Une réponse aux critiques (lire ci-avant) que l'on ne peut qu'apprécier.
Source : Blog d'Adobe
Lire aussi :
Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater
Et vous ?
Que pensez-vous de ce changement de la part d'Adobe : un bel effort ou cela ne changera rien aux problèmes de sécurité qui se posent de manière récurrente à ses technologies ?
MAJ de Gordon Fowler
Mise à jour du 11/03/10
NB : Les commentaires sur cette mise à jour commencent [POST="5053853"]ici dans le topic[/POST]
Un PDF malicieux exploite la faille d'Adobe Reader
L'éditeur pousse à appliquer son patch sorti en urgence
Un PDF malicieux circule actuellement. Il aurait réussi à télécharger un cheval de Troie sur les machines des utilisateurs qui n'ont pas encore appliqué le correctif publié il y a maintenant trois semaines par Adobe à ses produits Reader et Acrobat.
Cette attaque exploite la faille, qualifiée de sérieuse, qui avait été découverte par Microsoft (lire ci-avant). Elle touche les versions 8.2.0 et celles antérieures à la 9.3.0.
Adobe recommande donc très fortement de passer sur-le-champs aux versions 8.2.1 ou 9.3.1.
Pour mémoire, la société avait exceptionnellement cassé son cycle de développement de sécurité pour sortir un patch en urgence. Une décision saluée par les experts.
Reste cependant à ce qu'il soit appliqué... (il se trouve ici).
Le PDF malicieux a lui aussi été repéré par Microsoft.
Cette faille qui touche Adobe Acrobat et Reader ne doit pas être confondue avec une autre vulnérabilité, dans Adobe Download Manager, et qui doit elle aussi être prise en compte.
Source : L'annonce de Microsoft sur la découverte du PDF malicieux
Et vous ?
Allez-vous (ou avez-vous) appliqué ce patch ou êtes-vous passé(e) à un autre lecteur/éditeur de PDF ?
MAJ de Gordon Fowler
Mise à jour du 24/02/10
NB : Les commentaires sur cette mise à jour commencent [POST="5017629"]ici dans le topic[/POST]
Nouvelle faille critique dans Adobe Download Manager
L'utilitaire installé avec Flash et Reader, Adobe explique comment la colmater
Adobe appelle les utilisateurs de Flash et de Adobe Reader à mettre le plus rapidement à jour le programme qui permet – justement - de mettre à jour les deux technologies.
Download Manager s'installe en parallèle dès qu'un utilisateur télécharge l'un de ces deux programmes. En résumé, il seconde Adobe Updater, notamment en surveillant les transferts de fichiers depuis le site d'Adobe. Il gère, par exemple, les téléchargements interrompus et les mises en attentes.
L'utilitaire n'est pas à proprement parlé un produit maison. Adobe Download Manager est en fait une version personnalisée de getPlus +.
Quoi qu'il en soit, une faille de sécurité qui « permet potentiellement à un pirate de télécharger et d'installer des logiciels non autorisés sur le système » a été trouvée dans Download Manager.
Qualifiée de critique, Adobe recommande fortement de vérifier si ce service est présent sur votre machine et le cas échéant de colmater la faille dès que possible.
Pour cela, aucun patch n'est à installer.
La marche à suivre proposée par la société consiste à désinstaller purement et simplement - et manuellement - le service « getPlus Helper » présent dans le dossier « C:\Program Files\NOS\ » ou via la ligne de commande « services.msc ».
Une manipulation qui enchantera certainement l'utilisateur novice.
Source : Les recommandations d'Adobe
Et vous ?
D'après vous, la série noire (lire ci-avant) va-t-elle s'arrêter pour Adobe ?
A contrario, découvrir des failles (et les patcher) n'est-il pas le signe que la sécurité de ces technologies très populaires progresse ?
MAJ de Gordon Fowler
Mise à jour du 17/02/10
Les PDF corrompus seraient impliqués dans 80 % des attaques
Adobe patche deux failles en urgence : pourquoi cette fois-ci et pas les autres ?
Adobe vient de patcher en urgence deux failles dans son lecteur et son éditeur de PDF (Reader et Acrobat).
La première pouvait donner lieu à des attaques de type cross-scripting (XSS). La deuxième, véritable vulnérabilité, permettait d'installer des malwares à l'insu de l'utilisateur.
La deuxième faille n'a pas été mise à jour par Adobe mais par Microsoft, au sein du Microsoft Vulnerability Research Program, qui étudie les problèmes de sécurité des applications tiers.
Adobe a - pour une fois disent certains - pris en compte ces indications.
Ce qui pourrait paraitre normal ne l'est en fait pas pour cette société.
L'éditeur a en effet mis au point un système de patchs délivrés à périodicité fixe (un tous les trois mois).
Éditer un correctif de sécurité avant la date prévue peut donc être vue comme une nouvelle en soit.
Une bonne nouvelle. La question reste de savoir qui décidera de patcher en urgence ou de continuer la politique du "cycle fixe". Et cette question n'a pas de réponse, tout du moins en externe.
Adobe, dans un communiqué à la presse, affirme qu'il analyse les failles au cas par cas pour offrir le plus de sécurité possible à ses utilisateurs. Sans aucune autre précision sur son mécanisme de décision.
Jusqu'ici la réalité était légèrement différente pour les utilisateurs.
La société avait par exemple refusé de patcher "en urgence" une faille critique de Reader pourtant exploitée par des hackers, et ce au motif qu'un tel patch casserait les cycles de sortie des correctifs (lire ci-dessous). Un sujet sur lequel Adobe refuse encore de s'exprimer.
Ce changement d'attitude - s'il se confirme - est en tout cas une bonne nouvelle pour les utilisateurs.
Reste donc à espérer qu'elle deviendra la norme chez Adobe, la sécurité informatique ne pourra qu'en sortir renforcée.
Une étude de ScanSafe vient en effet de révéler que des PDFs malicieux étaient impliqués dans plus de 80 % des exploits de l'année 2009.
Les patchs de Reader et Acrobat sont disponibles ici.
Source : L'étude de ScanSafe
Lire aussi
Pour Steve Jobs "les développeurs d'Adobe sont des feignants", Flash est "buggué" et bientôt "plus personne ne l'utilisera"
Et vous ?
La pression des experts et des utilisateurs est-elle en train de faire changer la culture Adobe ?
MAJ de Gordon Fowler
13/01/10
Enfin un patch de sécurité pour la faille critique d'Acrobat Reader
Les experts invitent les utilisateurs à l'installer sur-le-champ
Enfin. Il est sorti.
Après de très longues semaines, où les hackers ont pu exploiter une vulnérabilité rendu publique.
L'essentiel est aujourd'hui qu'Adobe ait sortie son patch de sécurité pour son lecteur de PDF Acrobat Reader et que la faille, qualifiée de critique, soit enfin colmatée.
nCircle Network Security appelle, par la voix de son président, à immédiatement appliquer cette mise à jour, bien plus importante, à ses yeux, que le Tuesday Patch de Microsoft sorti simultanément.
Et il n'est pas le seul. D'autres conseils en sécurité tentent de faire passer le message le plus largement possible : "Updatez Acrobat Reader sur-le-champs".
Les patches sont disponibles sur le site d'Adobe.
En attendant les mises à jour automatiques donc...
Mise à jour de Gordon Fowler
08/01/10
Sécurité : Adobe au cœur de la tempête
La société commence à réagir mais cela sera-t-il suffisant ?
Son PDF Reader exploité par les hackers, ses plug-ins critiqués, des prévisions de sécurité catastrophistes pour l'année 2010 : Adobe est dans l'œil du cyclone.
C'est Mozilla qui avait ouvert le bal des hostilités.
La Fondation derrière Firefox en a eu assez du plug-in Flash. Plantage, failles, absence de mise à jour. S'en était trop.
Devant l'inertie apparente d'Adobe, une page de mise à jour de plug-ins périmés a été créée. Officiellement pour tous les plug-ins du navigateur libre.
Officieusement c'est bien Flash Player qui est à l'origine de l'intiative.
La Fondation ne s'est d'ailleur pas arrêtée là.
Les futures versions de Firefox géreront les onglets indépendamment les uns des autres. Cette nouvelle conception (inspirée de Chrome de Google) vise principalement à éviter les plantages liés au bug de Flash.
Par la suite, c'est la découverte d'une faille dans Acrobat Reader, le très célèbre lecteur de PDF, qui a à nouveau porté un coup à l'image de la société.
La faille, qui n'est donc toujours pas patchée, ne le sera que la semaine prochaine. Soit un mois après sa révélation dans la presse.
Conséquence : les tentatives d'exploits se sont multipliées, atteignant une dimension à grande échelle. A en croire la société de sécurité ISC, elles seraient même souvent réussies.
Adobe tente de réagir.
La société vient en effet d'annoncer qu'elle allait automatiser les process de mises à jour de ses produits. Plus besoin d'attendre que les utilisateurs le fassent manuellement. De quoi rassurer ses partenaires ?
Pas sûr. Ce nouveau process n'est encore qu'en beta. Il ne devrait être intégré aux produits maisons qu'en d'Avril. Si tout se passe bien.
S'il s'agit bien d'un progrès en terme de sécurité, le problème reste presque entier.
La fréquence des patchs d'Acrobat Reader, par exemple, ne change pas. Elle restera a priori fixe et périodique.
Les mises à jour continueront donc à sortir une fois tous les 3 mois.
Une éternité dans le domaines de la sécurité informatique.
Ce manque de réactivité commence à être mis en lumière par les analystes qui en tirent des prévisions peu rassurantes.
A tel point que les experts prévoient que si Adobe ne change pas rapidement son fusil d'épaule, ses produits se retrouveront en haut de la liste des cyber-attaques de 2010. Loin devant ceux de Microsoft pourtant bien plus répandus.
C'est ce que souligne Mac Afee dans un rapport qui note que «les cybercriminels se sont longtemps attaqués aux produits de Microsoft, vue leur popularité. Mais en 2010, c'est bien Adobe qui tiendra le haut du pavé, notamment avec Acrobat Reader et Flash».
Tous ces voyants rouges ne laissent cependant pas le management d'Adobe insensible.
«Nous travaillons pour diminuer le déli entre le moment où nous découvrons un problème et celui où nous sortons un fix. Nous le faisions en deux mois, à présent nous pouvons le faire en deux semaines pour les menaces critiques», a ainsi déclaré Kevin Lynch, son PDG... en octobre.
Ce qui n'a pas empêché, en décembre, de laisser Acrobat Reader à la merci des Hackers jusqu'au 12 Janvier.
Hackers qui, visiblement, ne se sont pas fait prier pour s'en donner à cœur joie.
Source : L'étude de ISC et les prévisions de Mac Afee (pdf)
Et vous ?
La réaction d'Adobe et sa prise en compte de la sécurité sont-elles suffisantes ?
MAJ de Gordon Fowler
17/12/09
Faut-il éviter les PDF jusqu'au 12 Janvier ?
Adobe ne patchera pas la faille critique de son Reader avant cette date
Alors que deux de ses produits phares sont victimes d'une faille qui serait d'ores et déjà exploitée (lire ci-dessous), Adobe vient de confirmer qu'il ne patcherait pas Acrobat Reader avant le 12 Janvier prochain.
Soit pas avant 4 semaines.
Et ce, alors que l'exploit et la vulnérabilité ont été rendus publics dès Mardi.
En d'autres termes, Adobe n'avancera pas sa mise à jour de sécurité trimestrielle, laissant les utilisateurs de son Reader exposés à des attaques dont le mode d'emploi est consultable par tous (mais dont nous ne donnerons pas le lien).
Une décision surprenante qui n'arrangera certainement pas l'image de la société déjà accusée par beaucoup de prendre la sécurité «par dessus la jambe» (dont Mozilla – lire ci-avant).
Pour les utilisateurs, restent 3 solutions : éviter les PDF – peu réalisable, utiliser un autre programme – mais lequel ?, ou pour les plus experts (catégorie dont, n'en doutons pas, tous les membres de ce forum font partie) désactiver JavaScript dans Acrobat Reader.
La faille, béante, permet à un hacker d'installer des malwares.
La brèche ayant déjà été utilisée depuis le 30 Novembre, Symantec affirme avoir observé ces logiciels malicieux dont le but est le vol de données personnelles.
Vu le peu d'écho auprès du grand public des informations sur la sécurité et la très grande diffusion du logiciel et du format PDF, les pirates risquent de s'offrir un sacré festin de données confidentielles pour Noël.
Merci qui ?
Source : Communiqué d'Adobe, le rapport de symantec et l'analyse de l'exploit que nous ne donnerons pas ici
Et vous ?
Allez-vous désactiver JavaScript dans Adobe ou allez-vous carrément changer de logiciel ?
Quel PDF Reader conseillerez-vous ?
Que pensez-vous de l'attitude d'Adobe face à cette faille ? Et sur la sécurité en général ?
MAJ de Gordon Fowler
15/12/09
Adobe Reader et Acrobat victimes d'un exploit "zero-day"
Encore des problèmes de sécurité dans des produits Adobe
Les critiques fusaient déjà contre la sécurité des produits d'Adobe. Cela risque de ne pas s'arranger.
Adobe vient de confirmer que des hackers exploitaient une vulnérabilité toujours présente dans son lecteur et éditeur de PDF et ce malgré sa dernière mise à jour.
"Adobe a reçu des retours (NDR : en interne) sur une faille dans Adobe Reader et Acrobat 9.2 et ses version précédentes qui est actuellement exploitée", reconnait David Lenoe, responsable du programme sécurité de la société. "Nous sommes en train d'étudier le problème et d'évaluer les risques pour nos clients".
Leone promet plus d'informations dès que la société aura plus de détails sur cette nouvelle brèche. Une de plus en 2009, qui restera une année noire pour la sécurité des produits Adobe.
En 2009, Adobe a publié 4 mises à jour pour Reader et Acrobat. La dernière en date (la 9.2) est arrivé mi-Octobre. Il s'agissait d'un patch consécutif à lé découvertes d'une trentaines de vulnérabilités.
Depuis, une faille de "confidentialité" - plus que de sécurité - a été rendue publique mettant en cause la conception de ces deux programmes.
Face aux critiques de plus en plus importantes, Adobe s'est engagé à publier des correctifs tous les trois mois pour montrer sa bonne volonté. Le prochain patch devrait donc sortir le mois prochain.
Après ses problèmes récurrents avec Flash, qui ont fini par sérieusement énerver ses partenaires - dont Mozilla qui s'est résigné à faire le travail à la place de l'éditeur, cette nouvelle affaire de sécurité risque de faire très mal à l'image de marque d'Adobe.
Source : L'annonce de Adobe sur cette vulnérabilité
Et vous ?
Les technologies d'Adobe sont-elles sûres ou au contraire, est-ce un faux procès fait à la marque finalement aussi regardante que les autres sur ces problématiques ?
Mise à jour de Gordon Fowler
Plus de 80% des utilisateurs toujours vulnérables aux récentes failles détectées dans les lecteurs Flash et Acrobat Reader d'Adobe
Dans son dernier rapport de sécurité relatif à flash, la société Trusteer, spécialisée dans la sécurité Informatique, indique que sur les 2.5 millions de postes qu'elle protège, plus de 80% des utilisateurs sont toujours vulnérables aux récentes failles détectées dans les lecteurs Flash et Acrobat Reader d'Adobe.
Compte tenu du taux de pénétration de ces produits "grand public" (99% pour le lecteur Flash des postes selon Adobe), cela en fait une cible de choix pour les pirates.
La politique de mise à jour des produits Adobe serait en cause. Elle ne conviendrait pas à des produits massivement diffusés.
Comparativement, Firefox et Chrome affichent respectivement des taux de mise à jour de 80% et 90% !
Les utilisateurs "lambda" ne modifiant que rarement les options par défaut de leurs logiciels, pensez-vous qu'une politique de mise à jour automatique et "imposée" par défaut (à la Firefox / Chrome) serait souhaitable ?
Sinon, et vous, êtes-vous à jour ?
Sources :
Flash Security Hole Advisory (pdf)
Flash Player Penetration
A lire aussi :
Adobe publie d'importants correctifs de sécurité pour ses différents Flash, Reader (PDF), AIR
Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques
Sécurité : Une vulnérabilité au sein des documents Adobe PDF détectée par Symantec
Plus de 80% des utilisateurs toujours vulnérables aux récentes failles détectées dans les lecteurs Flash et Acrobat Reader d'Adobe
Plus de 80% des utilisateurs toujours vulnérables aux récentes failles détectées dans les lecteurs Flash et Acrobat Reader d'Adobe
Le , par freegreg
Une erreur dans cette actualité ? Signalez-nous-la !