Faille PDF : précisions de Didier Stevens et réactions des éditeurs

Source : PC Inpact

Didier Stevens, chercheur en sécurité, a démontré sur son site un Proof of Concept sur le format PDF (actualité ). Cette exploitation permet de faire exécuter par une ligne de commande un programme dans un PDF. Sur Adobe Reader, un message alertait certes l'utilisateur pour lui demander l’autorisation d’exécuter, mais une bidouille permet de masquer l’alerte dans la boite de dialogue via des lignes de texte destinées à le mettre en confiance. Sur Foxit Reader, c’est pire : la démonstration de Didier Stevens montrait que le lecteur lance l' exécutable appelé par le PDF sans alerte l’utilisateur.Nous indiquions hier que Frédéric Raynal, un autre chercheur, présentait déjà des travaux similaires fin 2008 relatifs aux dangers du PDF. Didier Stevens nous a contactés pour nous apporter une précision importante : « en mars 2008, Éric Filiol(*) parle de la commande /Launch lors de sa présentation a Black Hat Amsterdam. J'étais présent ». Didier nous indique par ailleurs qu’il avait présenté ces travaux avec Fred Raynal en octobre 2009, à hack.lu. La rectification est apportée.

Une vidéo décrit par ailleurs cette découverte.

Côté éditeurs, Adobe et FoxIT ont tous les deux rapidement indiqué qu’ils allaient enquêter sur ces brèches de sécurité. Chez FoxIt, où la faille était réellement importante, l’équipe a mis à disposition une mise à jour. Désormais, comme Adobe Reader, l'utilisateur est alerté par une boîte de dialogue.(*) Chercheur lieutenant-colonel de l'Armée de Terre française, expert français en sécurité informatique et spécialisé en cryptologie et virologie.