Discussion :

[spidermario]

Pour Qt 4, même sans parler de l'aspect visuel, c'est une merveille de conception, un outil avec lequel il est formidable de programmer

[mr-rat]

c'est vraiment un graand probléme parceque tous le monde lis et partage les documents avec pdf ???

il faut crée un autre produit ??

[Gordon Fowler]

Sécurité : Adobe au cœur de la tempête
La société commence à réagir mais cela sera-t-il suffisant ?


Son PDF Reader exploité par les hackers, ses plug-ins critiqués, des prévisions de sécurité catastrophistes pour l'année 2010 : Adobe est dans l'œil du cyclone.

C'est Mozilla qui avait ouvert le bal des hostilités.
La Fondation derrière Firefox en a eu assez du plug-in Flash. Plantage, failles, absence de mise à jour. S'en était trop.

Devant l'inertie apparente d'Adobe, une page de mise à jour de plug-ins périmés a été créée. Officiellement pour tous les plug-ins du navigateur libre.
Officieusement c'est bien Flash Player qui est à l'origine de l'intiative.

La Fondation ne s'est d'ailleur pas arrêtée là.
Les futures versions de Firefox géreront les onglets indépendamment les uns des autres. Cette nouvelle conception (inspirée de Chrome de Google) vise principalement à éviter les plantages liés au bug de Flash.

Par la suite, c'est la découverte d'une faille dans Acrobat Reader, le très célèbre lecteur de PDF, qui a à nouveau porté un coup à l'image de la société.

La faille, qui n'est donc toujours pas patchée, ne le sera que la semaine prochaine. Soit un mois après sa révélation dans la presse.

Conséquence : les tentatives d'exploits se sont multipliées, atteignant une dimension à grande échelle. A en croire la société de sécurité ISC, elles seraient même souvent réussies.

Adobe tente de réagir.

La société vient en effet d'annoncer qu'elle allait automatiser les process de mises à jour de ses produits. Plus besoin d'attendre que les utilisateurs le fassent manuellement. De quoi rassurer ses partenaires ?

Pas sûr. Ce nouveau process n'est encore qu'en beta. Il ne devrait être intégré aux produits maisons qu'en d'Avril. Si tout se passe bien.

S'il s'agit bien d'un progrès en terme de sécurité, le problème reste presque entier.

La fréquence des patchs d'Acrobat Reader, par exemple, ne change pas. Elle restera a priori fixe et périodique.
Les mise à jour continueront donc à sortir une fois tous les 3 mois.
Une éternité dans le domaines de la sécurité informatique.

Ce manque de réactivité commence à être mis en lumière par les analystes qui en tirent des prévisions peu rassurantes.

A tel point que les experts prévoient que si Adobe ne change pas rapidement son fusil d'épaule, ses produits se retrouveront en haut de la liste des cyber-attaques de 2010. Loin devant ceux de Microsoft pourtant bien plus répandus.

C'est ce que souligne Mac Afee dans un rapport qui note que «les cybercriminels se sont longtemps attaqués aux produits de Microsoft, vue leur popularité. Mais en 2010, c'est bien Adobe qui tiendra le haut du pavé, notamment avec Acrobat Reader et Flash».

Tous ces voyants rouges ne laissent cependant pas le management d'Adobe insensible.

«Nous travaillons pour diminuer le déli entre le moment où nous découvrons un problème et celui où nous sortons un fix. Nous le faisions en deux mois, à présent nous pouvons le faire en deux semaines pour les menaces critiques», a ainsi déclaré Kevin Lynch, son PDG... en octobre.

Ce qui n'a pas empêché, en décembre, de laisser Acrobat Reader à la merci des Hackers jusqu'au 12 Janvier.

Hackers qui, visiblement, ne se sont pas fait prier pour s'en donner à cœur joie.

Source : L'étude de ISC et les prévisions de Mac Afee (pdf)

Et vous ?

La réaction d'Adobe et sa prise en compte de la sécurité sont-elles suffisantes ?

[exodev]

Le comportement d'Adobe est tout simplement aberrant en terme de sécurité

On pourrait espérer d'une entreprise qui tient des technologies aussi répandues que pdf et flash un minimum de suivi.

Le tag "danger du web" leur va bien

[Gordon Fowler]

Enfin un patch de sécurité pour la faille critique d'Acrobat Reader
Les experts invitent les utilisateurs à l'installer sur-le-champ


Enfin. Il est sorti.
Après de très longues semaines, où les hackers ont pu exploiter une vulnérabilité rendu publique.

L'essentiel est aujourd'hui qu'Adobe ait sortie son patch de sécurité pour son lecteur de PDF Acrobat Reader et que la faille, qualifiée de critique, soit enfin colmatée.

nCircle Network Security appelle, par la voix de son président, à immédiatement appliquer cette mise à jour, bien plus importante, à ses yeux, que le Tuesday Patch de Microsoft sorti simultanément.

Et il n'est pas le seul. D'autres conseils en sécurité tentent de faire passer le message le plus largement possible : "Updatez Acrobat Reader sur-le-champs".

Les patches sont disponibles sur le site d'Adobe.


En attendant les mises à jour automatiques donc...

[flipflap]

Bonsoir

je viens d'aller faire un tour chez Ah !!! Daube ... via le lien proposé

ATTENTION : toutes les pages que j'ai visité pour télécharger une version (8.2 ; 9.3) proposent l'installation de Macaffi machin chose !!!!!

Pensez à décocher la case si vous souhaitez ... vous en passer ...

D'autre part ce n'est pas une mise à jour qui est proposée mais une nouvelle version complète ...

Cordialement

[Skyounet]

Les futures versions de Firefox géreront les onglets indépendamment les uns des autres. Cette nouvelle conception (inspirée de Chrome de Google)

C'est IE8 qui est à l'origine de ça. Et Chrome lui a emprunté.

[Gordon Fowler]

Les PDF corrompus seraient impliqués dans 80 % des attaques
Adobe patche deux failles en urgence : pourquoi cette fois-ci et pas les autres ?


Adobe vient de patcher en urgence deux failles dans son lecteur et son éditeur de PDF (Reader et Acrobat).

La première pouvait donner lieu à des attaques de type cross-scripting (XSS). La deuxième, véritable vulnérabilité, permettait d'installer des malwares à l'insu de l'utilisateur.

La deuxième faille n'a pas été mise à jour par Adobe mais par Microsoft, au sein du Microsoft Vulnerability Research Program, qui étudie les problèmes de sécurité des applications tiers.

Adobe a - pour une fois disent certains - pris en compte ces indications.

Ce qui pourrait paraitre normal ne l'est en fait pas pour cette société.

L'éditeur a en effet mis au point un système de patchs délivrés à périodicité fixe (un tous les trois mois).
Éditer un correctif de sécurité avant la date prévue peut donc être vue comme une nouvelle en soit.

Une bonne nouvelle. La question reste de savoir qui décidera de patcher en urgence ou de continuer la politique du "cycle fixe". Et cette question n'a pas de réponse, tout du moins en externe.

Adobe, dans un communiqué à la presse, affirme qu'il analyse les failles au cas par cas pour offrir le plus de sécurité possible à ses utilisateurs. Sans aucune autre précision sur son mécanisme de décision.

Jusqu'ici la réalité était légèrement différente pour les utilisateurs.

La société avait par exemple refusé de patcher "en urgence" une faille critique de Reader pourtant exploitée par des hackers, et ce au motif qu'un tel patch casserait les cycles de sortie des correctifs (lire ci-dessous). Un sujet sur lequel Adobe refuse encore de s'exprimer.

Ce changement d'attitude - s'il se confirme - est en tout cas une bonne nouvelle pour les utilisateurs.

Reste donc à espérer qu'elle deviendra la norme chez Adobe, la sécurité informatique ne pourra qu'en sortir renforcée.

Une étude de ScanSafe vient en effet de révéler que des PDFs malicieux étaient impliqués dans plus de 80 % des exploits de l'année 2009.


Les patchs de Reader et Acrobat sont disponibles ici.


Source : L'étude de ScanSafe

Lire aussi

Pour Steve Jobs "les développeurs d'Adobe sont des feignants", Flash est "buggué" et bientôt "plus personne ne l'utilisera"

Et vous ?

La pression des experts et des utilisateurs est-elle en train de faire changer Adobe ?

[trenton]

C'est IE8 qui est à l'origine de ça. Et Chrome lui a emprunté.

Ouais, et c'est Opera qui est à l'origine de la navigation par onglet... Intéressant...

[kaymak]

C''est quand même naze de voir une société aussi importante qu'adobe ne pas être capable de créer deux cycles de développements concurrents pour répondre à deux nécessité d'évolution différente d'un même logiciel.

Ce problème est commun à tous les projets, nous avons tous besoins d'avoir des cycles de dev +/- longs pour la vie du logiciel, mais aussi d'un cycle de développement très cours pour apporter des correctifs on the fly ou de dernière minute.

Enfin bon, si il décide de continuer leur cycle de release long, la question qui reste est, la faille était elle détectable par un process automatique type fuzzing.
Auquel cas ils ont bien merdé.
Autrement, bon, analyse, développement, controle, patch, déploiement hein.

[smyley]

La deuxième faille n'a pas été mise à jour par Adobe mais par Microsoft, au sein du Microsoft Vulnerability Research Program, qui étudie les problèmes de sécurité des applications tiers.

S'ils en arrivent au point où c'est Microsoft qui leurs corrigent les failles, Adobe a vraiment du souci à se faire

Mais décidément ils sont attaqués de partout, les vulnérabilités de Flash à la pelle, et des PDFs ... c'est vraiment pourri ou est-ce parce que la surface d'exposition de ces logiciels est extrêmement grande ?

[kaymak]

@Smiley, hello qu'entends tu par surface ? Parles du même phénomène qui accable android et la fragmentation de son os ?

[smyley]

Tout d'abord, Smyley

Ensuite, non.

Ce dont je parle c'est le nombre d'endroits où Flash est utilisé.
Statistiquement on a beaucoup plus de chances de trouver des failles sur un produit extrêmement répandu que d'en trouvé sur un produit utilisé que par une partie restreinte de la population, a qualité égale.

Du coup, Flash n'est pas forcément une bouse sans nom comparé aux autres technologies si on considère que dans l'ère actuelle, s'il y a bien un logiciel que l'on retrouve partout c'est bien Flash ...

[Gordon Fowler]

Nouvelle faille critique dans Adobe Download Manager
L'utilitaire installé avec Flash et Reader, Adobe explique comment la colmater


Adobe appelle les utilisateurs de Flash et de Adobe Reader à mettre le plus rapidement à jour le programme qui permet – justement - de mettre à jour les deux technologies.

Download Manager s'installe en parallèle dès qu'un utilisateur télécharge l'un de ces deux programmes. En résumé, il seconde Adobe Updater, notamment en surveillant les transferts de fichiers depuis le site d'Adobe. Il gère, par exemple, les téléchargements interrompus et les mises en attentes.

L'utilitaire n'est pas à proprement parlé un produit maison. Adobe Download Manager est en fait une version personnalisée de getPlus +.

Quoi qu'il en soit, une faille de sécurité qui « permet potentiellement à un pirate de télécharger et d'installer des logiciels non autorisés sur le système » a été trouvée dans Download Manager.

Qualifiée de critique, Adobe recommande fortement de vérifier si ce service est présent sur votre machine et le cas échéant de colmater la faille dès que possible.

Pour cela, aucun patch n'est à installer.

La marche à suivre proposée par la société consiste à désinstaller purement et simplement - et manuellement - le service « getPlus Helper » présent dans le dossier « C:\Program Files\NOS\ » ou via la ligne de commande « services.msc ».

Une manipulation qui enchantera certainement l'utilisateur novice.


Source : Les recommandations d'Adobe

Et vous ?

D'après vous, la série noire (lire ci-avant) va-t-elle s'arrêter pour Adobe ?
A contrario, découvrir des failles (et les patcher) n'est-il pas le signe que la sécurité de ces technologies très populaires progresse ?

[smyley]

La marche à suivre proposée par la société consiste à désinstaller purement et simplement - et manuellement - le service « getPlus Helper » présent dans le dossier « C:\Program Files\NOS\ » ou via la ligne de commande « services.msc ».

Bientôt, Adobe va nous demander de débugger nous même leurs programmes

[kaymak]

C'est un peu naze pour adobe toutes ces failles.
Adobe c'est tout de même photoshop, un logiciel qui à vachement bien vieillit.
Et le PDF n'est pas rien.
Cependant, depuis que macromedia les à rejoints, c'est plus tout à fait pareil...

M'enfin, là c'est du n'importe quoi. Je me demande même pourquoi ils n'ont pas utilisé leur outils de mise à jour pour patcher la faille.
Comme une envie de se tirer une balle dans le pied ?

[ferber]

D'après vous, la série noire (lire ci-avant) va-t-elle s'arrêter pour Adobe ?

Il reste à mon avis encore beaucoup à faire.
Les failles découvertes risque d'ailleurs d'être de plus en plus nombreuse.
C'est une bonne chose, plus ils en corriges moins y'en reste.

A contrario, découvrir des failles (et les patcher) n'est-il pas le signe que la sécurité de ces technologies très populaires progresse ?

Tout à fait ça me semble être un bon signe. A première vue la faille serrait apparue le 18 fev, et une solution est apporté le 23 fev. C'est encore long, mais y'as du progrès.

[sphynxounet]

Bientôt, Adobe va nous demander de débugger nous même leurs programmes

C'est pire que ça puisque ADM n'est même pas un produit 100% Adobe.
En plus c'est pas non plus une petite faille, ça permet via l'uploader officiel d'installer des programmes non désirés !
C'est comme si en passant par Windows Update on se retrouvait avec des trojans. Vu le nombre d'utilisateurs ça ferait mal.

Néanmoins ça permet surtout pour moi de soulever un autre point : à partir du moment ou un logiciel, qui plus est officiel et venant d'un très gros éditeur, permet d'installer des programmes non désirés (et surtout malveillants), jusqu'à quel point aujourd'hui peut-on faire confiance dans un logiciel quel qu'il soit ?

[ILP]

Heureusement, sur toutes les machines où j'ai installé Adobe Reader, je l'ai fait sans passer par Adobe DLM mais en téléchargant directement l'EXE. Je n'ai jamais eu confiance en ce truc.
Le pire je pense, c'est pour l'installation de Flash. Télécharger l'EXE d'installation est beaucoup plus simple et plus rapide que de passer par DLM, qui doit être 2× plus gros que le programme d'installation de Flash lui-même .

[Acropole]

La marche à suivre proposée par la société consiste à désinstaller purement et simplement - et manuellement - le service « getPlus Helper » présent dans le dossier « C:\Program Files\NOS\ » ou via la ligne de commande « services.msc ».

Et avec l'outil de ajout/suppression de programme ?