Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent

    Avatar de freegreg
    Profil pro
    Inscrit en
    août 2002
    Messages
    4 376
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France, Gard (Languedoc Roussillon)

    Informations forums :
    Inscription : août 2002
    Messages : 4 376
    Points : 8 795
    Points
    8 795
    Par défaut Adobe automatise l'installation de ses mises à jour de sécurité pour Acrobat et Reader
    Mise à jour du 09/04/10
    NB : Les commentaires sur cette mise à jour commencent ici dans le topic


    Adobe automatise l'installation de ses mises à jour de sécurité
    Pour Acrobat et Reader


    Adobe va délivrer ses prochaines mises à jour de sécurité pour Reader et Acrobat de manière automatique. Autrement dit, les patchs seront téléchargés et installés de manière transparente pour l'utilisateur, sans que celui-ci ait la moindre manipulation à effectuer.

    Ce nouveau processus automatisé entrera en action à partir de jeudi prochain.

    Adobe indique que cette solution a été testée depuis le 13 octobre dernier auprès de quelques beta-testeurs et qu'elle a donné entière satisfaction.

    La généralisation était donc naturelle - et surtout attendue par les experts en sécurité. Néanmoins, les récalcitrants pourraient désactiver cette fonctionnalité pour repasser en mode "semi-automatique" et continuer à garder le contrôle sur l'application des patch.

    Avec cette annonce, et sa plus grande réactivité constatée ces dernières semaines, Adobe prouve que la sécurité est désormais une de ses préoccupations principales.

    Une réponse aux critiques (lire ci-avant) que l'on ne peut qu'apprécier.

    Source : Blog d'Adobe

    Lire aussi :

    Des chercheurs découvrent le premier malware à pratiquer l'overwrite, caché sous la forme d'un Adobe Updater

    Et vous ?

    Que pensez-vous de ce changement de la part d'Adobe : un bel effort ou cela ne changera rien aux problèmes de sécurité qui se posent de manière récurrente à ses technologies ?

    MAJ de Gordon Fowler



    Mise à jour du 11/03/10
    NB : Les commentaires sur cette mise à jour commencent ici dans le topic


    Un PDF malicieux exploite la faille d'Adobe Reader
    L'éditeur pousse à appliquer son patch sorti en urgence


    Un PDF malicieux circule actuellement. Il aurait réussi à télécharger un cheval de Troie sur les machines des utilisateurs qui n'ont pas encore appliqué le correctif publié il y a maintenant trois semaines par Adobe à ses produits Reader et Acrobat.

    Cette attaque exploite la faille, qualifiée de sérieuse, qui avait été découverte par Microsoft (lire ci-avant). Elle touche les versions 8.2.0 et celles antérieures à la 9.3.0.

    Adobe recommande donc très fortement de passer sur-le-champs aux versions 8.2.1 ou 9.3.1.

    Pour mémoire, la société avait exceptionnellement cassé son cycle de développement de sécurité pour sortir un patch en urgence. Une décision saluée par les experts.

    Reste cependant à ce qu'il soit appliqué... (il se trouve ici).

    Le PDF malicieux a lui aussi été repéré par Microsoft.

    Cette faille qui touche Adobe Acrobat et Reader ne doit pas être confondue avec une autre vulnérabilité, dans Adobe Download Manager, et qui doit elle aussi être prise en compte.


    Source : L'annonce de Microsoft sur la découverte du PDF malicieux


    Et vous ?

    Allez-vous (ou avez-vous) appliqué ce patch ou êtes-vous passé(e) à un autre lecteur/éditeur de PDF ?

    MAJ de Gordon Fowler




    Mise à jour du 24/02/10
    NB : Les commentaires sur cette mise à jour commencent ici dans le topic


    Nouvelle faille critique dans Adobe Download Manager
    L'utilitaire installé avec Flash et Reader, Adobe explique comment la colmater


    Adobe appelle les utilisateurs de Flash et de Adobe Reader à mettre le plus rapidement à jour le programme qui permet – justement - de mettre à jour les deux technologies.

    Download Manager s'installe en parallèle dès qu'un utilisateur télécharge l'un de ces deux programmes. En résumé, il seconde Adobe Updater, notamment en surveillant les transferts de fichiers depuis le site d'Adobe. Il gère, par exemple, les téléchargements interrompus et les mises en attentes.

    L'utilitaire n'est pas à proprement parlé un produit maison. Adobe Download Manager est en fait une version personnalisée de getPlus +.

    Quoi qu'il en soit, une faille de sécurité qui « permet potentiellement à un pirate de télécharger et d'installer des logiciels non autorisés sur le système » a été trouvée dans Download Manager.

    Qualifiée de critique, Adobe recommande fortement de vérifier si ce service est présent sur votre machine et le cas échéant de colmater la faille dès que possible.

    Pour cela, aucun patch n'est à installer.

    La marche à suivre proposée par la société consiste à désinstaller purement et simplement - et manuellement - le service « getPlus Helper » présent dans le dossier « C:\Program Files\NOS\ » ou via la ligne de commande « services.msc ».

    Une manipulation qui enchantera certainement l'utilisateur novice.


    Source : Les recommandations d'Adobe

    Et vous ?

    D'après vous, la série noire (lire ci-avant) va-t-elle s'arrêter pour Adobe ?
    A contrario, découvrir des failles (et les patcher) n'est-il pas le signe que la sécurité de ces technologies très populaires progresse ?


    MAJ de Gordon Fowler



    Mise à jour du 17/02/10

    Les PDF corrompus seraient impliqués dans 80 % des attaques
    Adobe patche deux failles en urgence : pourquoi cette fois-ci et pas les autres ?


    Adobe vient de patcher en urgence deux failles dans son lecteur et son éditeur de PDF (Reader et Acrobat).

    La première pouvait donner lieu à des attaques de type cross-scripting (XSS). La deuxième, véritable vulnérabilité, permettait d'installer des malwares à l'insu de l'utilisateur.

    La deuxième faille n'a pas été mise à jour par Adobe mais par Microsoft, au sein du Microsoft Vulnerability Research Program, qui étudie les problèmes de sécurité des applications tiers.

    Adobe a - pour une fois disent certains - pris en compte ces indications.

    Ce qui pourrait paraitre normal ne l'est en fait pas pour cette société.

    L'éditeur a en effet mis au point un système de patchs délivrés à périodicité fixe (un tous les trois mois).
    Éditer un correctif de sécurité avant la date prévue peut donc être vue comme une nouvelle en soit.

    Une bonne nouvelle. La question reste de savoir qui décidera de patcher en urgence ou de continuer la politique du "cycle fixe". Et cette question n'a pas de réponse, tout du moins en externe.

    Adobe, dans un communiqué à la presse, affirme qu'il analyse les failles au cas par cas pour offrir le plus de sécurité possible à ses utilisateurs. Sans aucune autre précision sur son mécanisme de décision.

    Jusqu'ici la réalité était légèrement différente pour les utilisateurs.

    La société avait par exemple refusé de patcher "en urgence" une faille critique de Reader pourtant exploitée par des hackers, et ce au motif qu'un tel patch casserait les cycles de sortie des correctifs (lire ci-dessous). Un sujet sur lequel Adobe refuse encore de s'exprimer.

    Ce changement d'attitude - s'il se confirme - est en tout cas une bonne nouvelle pour les utilisateurs.

    Reste donc à espérer qu'elle deviendra la norme chez Adobe, la sécurité informatique ne pourra qu'en sortir renforcée.

    Une étude de ScanSafe vient en effet de révéler que des PDFs malicieux étaient impliqués dans plus de 80 % des exploits de l'année 2009.


    Les patchs de Reader et Acrobat sont disponibles ici.


    Source : L'étude de ScanSafe

    Lire aussi

    Pour Steve Jobs "les développeurs d'Adobe sont des feignants", Flash est "buggué" et bientôt "plus personne ne l'utilisera"

    Et vous ?

    La pression des experts et des utilisateurs est-elle en train de faire changer la culture Adobe ?

    MAJ de Gordon Fowler



    13/01/10

    Enfin un patch de sécurité pour la faille critique d'Acrobat Reader
    Les experts invitent les utilisateurs à l'installer sur-le-champ


    Enfin. Il est sorti.
    Après de très longues semaines, où les hackers ont pu exploiter une vulnérabilité rendu publique.

    L'essentiel est aujourd'hui qu'Adobe ait sortie son patch de sécurité pour son lecteur de PDF Acrobat Reader et que la faille, qualifiée de critique, soit enfin colmatée.

    nCircle Network Security appelle, par la voix de son président, à immédiatement appliquer cette mise à jour, bien plus importante, à ses yeux, que le Tuesday Patch de Microsoft sorti simultanément.

    Et il n'est pas le seul. D'autres conseils en sécurité tentent de faire passer le message le plus largement possible : "Updatez Acrobat Reader sur-le-champs".

    Les patches sont disponibles sur le site d'Adobe.


    En attendant les mises à jour automatiques donc...


    Mise à jour de Gordon Fowler



    08/01/10

    Sécurité : Adobe au cœur de la tempête
    La société commence à réagir mais cela sera-t-il suffisant ?


    Son PDF Reader exploité par les hackers, ses plug-ins critiqués, des prévisions de sécurité catastrophistes pour l'année 2010 : Adobe est dans l'œil du cyclone.

    C'est Mozilla qui avait ouvert le bal des hostilités.
    La Fondation derrière Firefox en a eu assez du plug-in Flash. Plantage, failles, absence de mise à jour. S'en était trop.

    Devant l'inertie apparente d'Adobe, une page de mise à jour de plug-ins périmés a été créée. Officiellement pour tous les plug-ins du navigateur libre.
    Officieusement c'est bien Flash Player qui est à l'origine de l'intiative.

    La Fondation ne s'est d'ailleur pas arrêtée là.
    Les futures versions de Firefox géreront les onglets indépendamment les uns des autres. Cette nouvelle conception (inspirée de Chrome de Google) vise principalement à éviter les plantages liés au bug de Flash.

    Par la suite, c'est la découverte d'une faille dans Acrobat Reader, le très célèbre lecteur de PDF, qui a à nouveau porté un coup à l'image de la société.

    La faille, qui n'est donc toujours pas patchée, ne le sera que la semaine prochaine. Soit un mois après sa révélation dans la presse.

    Conséquence : les tentatives d'exploits se sont multipliées, atteignant une dimension à grande échelle. A en croire la société de sécurité ISC, elles seraient même souvent réussies.

    Adobe tente de réagir.

    La société vient en effet d'annoncer qu'elle allait automatiser les process de mises à jour de ses produits. Plus besoin d'attendre que les utilisateurs le fassent manuellement. De quoi rassurer ses partenaires ?

    Pas sûr. Ce nouveau process n'est encore qu'en beta. Il ne devrait être intégré aux produits maisons qu'en d'Avril. Si tout se passe bien.

    S'il s'agit bien d'un progrès en terme de sécurité, le problème reste presque entier.

    La fréquence des patchs d'Acrobat Reader, par exemple, ne change pas. Elle restera a priori fixe et périodique.
    Les mises à jour continueront donc à sortir une fois tous les 3 mois.
    Une éternité dans le domaines de la sécurité informatique.

    Ce manque de réactivité commence à être mis en lumière par les analystes qui en tirent des prévisions peu rassurantes.

    A tel point que les experts prévoient que si Adobe ne change pas rapidement son fusil d'épaule, ses produits se retrouveront en haut de la liste des cyber-attaques de 2010. Loin devant ceux de Microsoft pourtant bien plus répandus.

    C'est ce que souligne Mac Afee dans un rapport qui note que «les cybercriminels se sont longtemps attaqués aux produits de Microsoft, vue leur popularité. Mais en 2010, c'est bien Adobe qui tiendra le haut du pavé, notamment avec Acrobat Reader et Flash».

    Tous ces voyants rouges ne laissent cependant pas le management d'Adobe insensible.

    «Nous travaillons pour diminuer le déli entre le moment où nous découvrons un problème et celui où nous sortons un fix. Nous le faisions en deux mois, à présent nous pouvons le faire en deux semaines pour les menaces critiques», a ainsi déclaré Kevin Lynch, son PDG... en octobre.

    Ce qui n'a pas empêché, en décembre, de laisser Acrobat Reader à la merci des Hackers jusqu'au 12 Janvier.

    Hackers qui, visiblement, ne se sont pas fait prier pour s'en donner à cœur joie.

    Source : L'étude de ISC et les prévisions de Mac Afee (pdf)

    Et vous ?

    La réaction d'Adobe et sa prise en compte de la sécurité sont-elles suffisantes ?

    MAJ de Gordon Fowler




    17/12/09

    Faut-il éviter les PDF jusqu'au 12 Janvier ?
    Adobe ne patchera pas la faille critique de son Reader avant cette date


    Alors que deux de ses produits phares sont victimes d'une faille qui serait d'ores et déjà exploitée (lire ci-dessous), Adobe vient de confirmer qu'il ne patcherait pas Acrobat Reader avant le 12 Janvier prochain.

    Soit pas avant 4 semaines.

    Et ce, alors que l'exploit et la vulnérabilité ont été rendus publics dès Mardi.

    En d'autres termes, Adobe n'avancera pas sa mise à jour de sécurité trimestrielle, laissant les utilisateurs de son Reader exposés à des attaques dont le mode d'emploi est consultable par tous (mais dont nous ne donnerons pas le lien).

    Une décision surprenante qui n'arrangera certainement pas l'image de la société déjà accusée par beaucoup de prendre la sécurité «par dessus la jambe» (dont Mozilla – lire ci-avant).

    Pour les utilisateurs, restent 3 solutions : éviter les PDF – peu réalisable, utiliser un autre programme – mais lequel ?, ou pour les plus experts (catégorie dont, n'en doutons pas, tous les membres de ce forum font partie) désactiver JavaScript dans Acrobat Reader.

    La faille, béante, permet à un hacker d'installer des malwares.
    La brèche ayant déjà été utilisée depuis le 30 Novembre, Symantec affirme avoir observé ces logiciels malicieux dont le but est le vol de données personnelles.

    Vu le peu d'écho auprès du grand public des informations sur la sécurité et la très grande diffusion du logiciel et du format PDF, les pirates risquent de s'offrir un sacré festin de données confidentielles pour Noël.

    Merci qui ?


    Source : Communiqué d'Adobe, le rapport de symantec et l'analyse de l'exploit que nous ne donnerons pas ici


    Et vous ?

    Allez-vous désactiver JavaScript dans Adobe ou allez-vous carrément changer de logiciel ?
    Quel PDF Reader conseillerez-vous ?
    Que pensez-vous de l'attitude d'Adobe face à cette faille ? Et sur la sécurité en général ?


    MAJ de Gordon Fowler




    15/12/09

    Adobe Reader et Acrobat victimes d'un exploit "zero-day"
    Encore des problèmes de sécurité dans des produits Adobe


    Les critiques fusaient déjà contre la sécurité des produits d'Adobe. Cela risque de ne pas s'arranger.

    Adobe vient de confirmer que des hackers exploitaient une vulnérabilité toujours présente dans son lecteur et éditeur de PDF et ce malgré sa dernière mise à jour.

    "Adobe a reçu des retours (NDR : en interne) sur une faille dans Adobe Reader et Acrobat 9.2 et ses version précédentes qui est actuellement exploitée", reconnait David Lenoe, responsable du programme sécurité de la société. "Nous sommes en train d'étudier le problème et d'évaluer les risques pour nos clients".

    Leone promet plus d'informations dès que la société aura plus de détails sur cette nouvelle brèche. Une de plus en 2009, qui restera une année noire pour la sécurité des produits Adobe.

    En 2009, Adobe a publié 4 mises à jour pour Reader et Acrobat. La dernière en date (la 9.2) est arrivé mi-Octobre. Il s'agissait d'un patch consécutif à lé découvertes d'une trentaines de vulnérabilités.

    Depuis, une faille de "confidentialité" - plus que de sécurité - a été rendue publique mettant en cause la conception de ces deux programmes.

    Face aux critiques de plus en plus importantes, Adobe s'est engagé à publier des correctifs tous les trois mois pour montrer sa bonne volonté. Le prochain patch devrait donc sortir le mois prochain.

    Après ses problèmes récurrents avec Flash, qui ont fini par sérieusement énerver ses partenaires - dont Mozilla qui s'est résigné à faire le travail à la place de l'éditeur, cette nouvelle affaire de sécurité risque de faire très mal à l'image de marque d'Adobe.


    Source : L'annonce de Adobe sur cette vulnérabilité


    Et vous ?

    Les technologies d'Adobe sont-elles sûres ou au contraire, est-ce un faux procès fait à la marque finalement aussi regardante que les autres sur ces problématiques ?

    Mise à jour de Gordon Fowler


    Plus de 80% des utilisateurs toujours vulnérables aux récentes failles détectées dans les lecteurs Flash et Acrobat Reader d'Adobe

    Dans son dernier rapport de sécurité relatif à flash, la société Trusteer, spécialisée dans la sécurité Informatique, indique que sur les 2.5 millions de postes qu'elle protège, plus de 80% des utilisateurs sont toujours vulnérables aux récentes failles détectées dans les lecteurs Flash et Acrobat Reader d'Adobe.

    Compte tenu du taux de pénétration de ces produits "grand public" (99% pour le lecteur Flash des postes selon Adobe), cela en fait une cible de choix pour les pirates.

    La politique de mise à jour des produits Adobe serait en cause. Elle ne conviendrait pas à des produits massivement diffusés.
    Comparativement, Firefox et Chrome affichent respectivement des taux de mise à jour de 80% et 90% !

    Les utilisateurs "lambda" ne modifiant que rarement les options par défaut de leurs logiciels, pensez-vous qu'une politique de mise à jour automatique et "imposée" par défaut (à la Firefox / Chrome) serait souhaitable ?
    Sinon, et vous, êtes-vous à jour ?

    Sources :
    Flash Security Hole Advisory (pdf)
    Flash Player Penetration

    A lire aussi :
    Adobe publie d'importants correctifs de sécurité pour ses différents Flash, Reader (PDF), AIR
    Sécurité sur le web : l'ignorance des utilisateurs les expose à d'importants risques
    Sécurité : Une vulnérabilité au sein des documents Adobe PDF détectée par Symantec
    Avant toutes questions, consultez nos différentes ressources disponibles gratuitement : XML, Développement Web, Flash/Flex, (X)HTML, CSS, JavaScript, AJAX, ASP
    Offres d'emploi développeur Web

  2. #2
    Futur Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2009
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : août 2009
    Messages : 5
    Points : 8
    Points
    8
    Par défaut
    Alors, moi j'suis à jour, normal vu que je bosse dans le développement web.
    Sinon pour la question des mises à jour "imposées" , je pense que se serait un bon moyen déjà de diminuer le nombre de poste pas à jour.

    Le problème vient aussi du fait que beaucoup d'utilisateurs ne prennent même pas la peine de lire les message quand le logiciel propose une mise à jour, et se contentent de fermer la fenêtre, ou pensent ne pas en avoir besoin.

    Le dernier point je pense qui bloque le processus de mise à jour sont les postes d'entreprise, verrouillés par l'admin système ou un responsable, ce qui empêche les utilisateur de faire leur mise à jour.

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    609
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 609
    Points : 336
    Points
    336
    Par défaut
    pour les utilisateurs lambda (le monsieur tout le monde) y a un soucis de psycologie car si le changement n'est pas radicale(des dizaines de fonctionnalitè en plus il n'en voit pas l'utilitè)

    il y a ausi beaucoup de gens qui ne save pas trop quoi fair et par peur de fair une betise(ou qui simplement ne prene pas le temps) ne font pas la mise a jour

    après cotè admin system faut savoir qu'il n'est pas la pour rien, il veille a se que le parc informatique soit homogene, si chaqu'un fait ce qu'il veut

    ensuite a lui de fair les mise a jour, sa fait parti de son boulot je crois...

  4. #4
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 650
    Points : 25 873
    Points
    25 873
    Par défaut
    J'étais à jour, je ne le suis plus. Un site web m'a réinstaller Flash 9 à la place de Flash 10 malgrés ma réponse NON et à l'utilisation de FF. Ce n'est pas la première fois que ça arrive.

    Une meilleure compatibilité et gestion des versions chez Adobe pourrait aussi régler le problème des mise à jours. C'est déjà arrivé chez eux de pouvoir mettre à jour un produit avec une version inférieure, ce qui ne devrait jamais être possible.

    De toute façon, à part Flash dont on ne peut difficilement se passer, en règle générale les produits Adobe sont bannis de mes postes. Il sont remplacé par des équivalents plus léger en taille et en ressources, tout aussi efficace sinon plus.

    C'est le cas pour Acrobat Reader depuis la version 6 que j'ai remplacé par Foxit Reader
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  5. #5
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 400
    Points
    148 400
    Par défaut Mise à jour :
    Adobe Reader et Acrobat victimes d'un exploit "zero-day"
    Encore des problèmes de sécurité dans des produits Adobe


    Les critiques fusaient déjà contre la sécurité des produits d'Adobe. Cela risque de ne pas s'arranger.

    Adobe vient de confirmer que des hackers exploitaient une vulnérabilité toujours présente dans son lecteur et éditeur de PDF et ce malgré sa dernière mise à jour.

    "Adobe a reçu des retours (NDR : en interne) sur une faille dans Adobe Reader et Acrobat 9.2 et ses version précédentes qui est actuellement exploitée", reconnait David Lenoe, responsable du programme sécurité de la société. "Nous sommes en train d'étudier le problème et d'évaluer les risques pour nos clients".

    Leone promet plus d'informations dès que la société aura plus de détails sur cette nouvelle brèche. Une de plus en 2009, qui restera une année noire pour la sécurité des produits Adobe.

    En 2009, Adobe a publié 4 mises à jour pour Reader et Acrobat. La dernière en date (la 9.2) est arrivé mi-Octobre. Il s'agissait d'un patch consécutif à lé découvertes d'une trentaines de vulnérabilités.

    Depuis, une faille de "confidentialité" - plus que de sécurité - a été rendue publique mettant en cause la conception de ces deux programmes.

    Face aux critiques de plus en plus importantes, Adobe s'est engagé à publier des correctifs tous les trois mois pour montrer sa bonne volonté. Le prochain patch devrait donc sortir le mois prochain.

    Après ses problèmes récurrents avec Flash, qui ont fini par sérieusement énerver ses partenaires - dont Mozilla qui s'est résigné à faire le travail à la place de l'éditeur, cette nouvelle affaire de sécurité risque de faire très mal à l'image de marque d'Adobe.


    Source : L'annonce de Adobe sur cette vulnérabilité

  6. #6
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 400
    Points
    148 400
    Par défaut Mise à jour :
    Faut-il éviter les PDF jusqu'au 12 Janvier ?
    Adobe ne patchera pas la faille critique de son Reader avant cette date


    Alors que deux de ses produits phares sont victimes d'une faille qui serait d'ores et déjà exploitée (lire ci-avant), Adobe vient de confirmer qu'il ne patcherait pas Acrobat Reader avant le 12 Janvier prochain.

    Soit pas avant 4 semaines.

    Et ce, alors que l'exploit et la vulnérabilité ont été rendus publics dès Mardi.

    En d'autres termes, Adobe n'avancera pas sa mise à jour de sécurité trimestrielle, laissant les utilisateurs de son Reader exposés à des attaques dont le mode d'emploi est consultable par tous (mais dont nous ne donnerons pas le lien).

    Une décision surprenante qui n'arrangera certainement pas l'image de la société déjà accusée par beaucoup de prendre la sécurité «par dessus la jambe» (dont Mozilla – lire ci-avant).

    Pour les utilisateurs, restent 3 solutions : éviter les PDF – peu réalisable, utiliser un autre programme – mais lequel ?, ou pour les plus experts (catégorie dont, n'en doutons pas, tous les membres de ce forum font partie) désactiver JavaScript dans Acrobat Reader.

    La faille, béante, permet à un hacker d'installer des malwares.
    La brèche ayant déjà été utilisée depuis le 30 Novembre, Symantec affirme avoir observé ces logiciels malicieux dont le but est le vol de données personnelles.

    Vu le peu d'écho auprès du grand public des informations sur la sécurité et la très grande diffusion du logiciel et du format PDF, les pirates risquent de s'offrir un sacré festin de données confidentielles pour Noël.

    Merci qui ?


    Source : Communiqué d'Adobe, le rapport de symantec et l'analyse de l'exploit que nous ne donnerons pas ici


    Et vous ?

    Allez-vous désactiver JavaScript dans Adobe ou allez-vous carrément changer de logiciel ?
    Quel PDF Reader conseillerez-vous ?
    Que pensez-vous de l'attitude d'Adobe face à cette faille ? Et sur la sécurité en général ?

  7. #7
    Nouveau Candidat au Club
    Inscrit en
    décembre 2009
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : décembre 2009
    Messages : 1
    Points : 1
    Points
    1
    Par défaut important
    merci pour ces informations, et bah moi aussi J'étais à jour, mais je ne le suis plus. à cause d'un site web m'a réinstaller Flash 9 à la place de Flash 10 Ce n'est pas la première fois que ça arrive.Une meilleure compatibilité et gestion des versions chez Adobe pourrait aussi régler le problème des mise à jours.
    je dois voir comment pour en retrouver!!

  8. #8
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    5 555
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 5 555
    Points : 15 045
    Points
    15 045
    Par défaut
    utiliser un autre programme – mais lequel ?
    Foxit reader ? Gratuit , autrement plus léger que ce mastondonte d acrobat. Sans doute pas exempt de faille mais très certainement moins médiatiser qu'adobe.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  9. #9
    Membre actif Avatar de vintz72
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 47
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : octobre 2005
    Messages : 154
    Points : 282
    Points
    282
    Par défaut
    Citation Envoyé par grunk Voir le message
    Foxit reader ? Gratuit , autrement plus léger que ce mastondonte d acrobat. Sans doute pas exempt de faille mais très certainement moins médiatiser qu'adobe.
    Ou PDFXChangeViewer, dont la version gratuite est déjà très bien !
    Sur Mac : Aperçu suffit !

  10. #10
    Membre régulier
    Profil pro
    Inscrit en
    avril 2003
    Messages
    74
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2003
    Messages : 74
    Points : 90
    Points
    90
    Par défaut
    les dernières versions du PDF Reader d'Adobe sont à la base buguées : ca prend une plombe pour charger !!!!

    Foxit reader : excellent ! Et c'est meilleur car on peut imprimer plusieurs pages sur le meme coté d'une feuille. C'est utile pour les imprimantes qui n'intègrent pas cette fonctionnalité.

  11. #11
    Membre averti Avatar de ner0lph
    Homme Profil pro
    Analyste-programmeur
    Inscrit en
    octobre 2005
    Messages
    276
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-programmeur
    Secteur : Finance

    Informations forums :
    Inscription : octobre 2005
    Messages : 276
    Points : 419
    Points
    419
    Par défaut Faut-il éviter les PDF jusqu'au 12 Janvier ? Non.
    Faut-il éviter les PDF jusqu'au 12 Janvier ?
    Non, il suffit simplement de changer de lecteur de PDF.

    • Si j'étais sous Windows à la maison, j'opterais pour SumatraPDF.
    • Sous GNU/Linux, on a Evince ou XPDF.
    • Sous MacOSX, vintz72 dit que Apercu peut suffire.

    Donc, pas de problèmes. Si d'ici là, on a besoin de certaines fonctionnalité de Adobe Reader, il suffit de débrancher le câble réseau…

  12. #12
    Membre du Club
    Profil pro
    Inscrit en
    mai 2009
    Messages
    73
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2009
    Messages : 73
    Points : 60
    Points
    60
    Par défaut
    Merci pour les infos très intéressantes !

    Citation Envoyé par freegreg Voir le message
    désactiver JavaScript dans Acrobat Reader.
    Utilisant les librairies FPDF comment est il possible de faire cela ?

  13. #13
    Membre à l'essai
    Profil pro
    Inscrit en
    juin 2009
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juin 2009
    Messages : 16
    Points : 22
    Points
    22
    Par défaut
    Citation Envoyé par ner0lph Voir le message
    Non, il suffit simplement de changer de lecteur de PDF.

    [LIST][*] Si j'étais sous Windows à la maison, j'opterais pour SumatraPDF.[*] Sous GNU/Linux, on a Evince ou XPDF.
    Tout à fait il n'y a pas que Adobe dans le cyber espace !

    J'ai installé SumatraPDF pour ma mère(depuis un moment déjà) et il fonctionne sans problème, il est pas "flashy" comme le lecteur de chez Adobe mais pour les petites configs, il est très bien.

    Sur Nux j'utilise ePDFView ainsi que KPDF sous environnement KDE.

  14. #14
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2008
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2008
    Messages : 44
    Points : 54
    Points
    54
    Par défaut Petite precision
    Bonjour,

    Je me pose une question.
    Cette fonctionnalité n'est dangereuse que pour les PDF d'origine douteuse ?

    Cordialement

  15. #15
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2006
    Messages
    519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2006
    Messages : 519
    Points : 958
    Points
    958
    Par défaut
    Sous KDE 4, Okular est excellent

    Grâce aux KParts, il permet l'utilisation d'un seul programme pour visualiser pleins de types de fichiers différents.

  16. #16
    Membre éclairé
    Inscrit en
    avril 2006
    Messages
    853
    Détails du profil
    Informations forums :
    Inscription : avril 2006
    Messages : 853
    Points : 775
    Points
    775
    Par défaut
    Citation Envoyé par aldebaran74 Voir le message
    Tout à fait il n'y a pas que Adobe dans le cyber espace !

    J'ai installé SumatraPDF pour ma mère(depuis un moment déjà) et il fonctionne sans problème, il est pas "flashy" comme le lecteur de chez Adobe mais pour les petites configs, il est très bien.

    Sur Nux j'utilise ePDFView ainsi que KPDF sous environnement KDE.
    kpdf est mort, vive oKular

  17. #17
    Membre régulier
    Inscrit en
    août 2009
    Messages
    30
    Détails du profil
    Informations forums :
    Inscription : août 2009
    Messages : 30
    Points : 80
    Points
    80
    Par défaut
    C'est marrant c'est pas la première fois que j'entends parler d'exploitation de failles sur Acrobat Reader...

    Sur Mac Aperçu est livré d'office et suffit amplement, sur Windows j'utilise Foxit Reader, qui est autrement plus rapide et léger que Acrobat Reader.

  18. #18
    Membre à l'essai
    Profil pro
    Inscrit en
    juin 2009
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juin 2009
    Messages : 16
    Points : 22
    Points
    22
    Par défaut
    Citation Envoyé par robert_trudel Voir le message
    kpdf est mort, vive oKular
    C'est à dire que...il y a encore des grands malades, mais on peut aussi dire des nostalgiques qui utilisent KDE3(sous Debian Lenny présentement), d'ailleur je pense à me convertir aux *BSD pour pouvoir encore utiliser KDE3(mais pas seulement)...c'est dire !

    ...et pour celui qui n'en veut encore, y-a aussi Slackware mais chuuut !

    Aussi, j'aimerai bien trouver des "fous" qui continueraient de maintenir le code pour QT3 et KDE3.

  19. #19
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2006
    Messages
    519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2006
    Messages : 519
    Points : 958
    Points
    958
    Par défaut
    J'ai une question : pourquoi ?
    Depuis sa version 4.2, KDE 4 est largement assez stable pour une utilisation normale et Qt 4 est une merveille.

  20. #20
    Membre à l'essai
    Profil pro
    Inscrit en
    juin 2009
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juin 2009
    Messages : 16
    Points : 22
    Points
    22
    Par défaut
    Citation Envoyé par spidermario Voir le message
    J'ai une question : pourquoi ?
    Attention bonhomme ! Ici les poilus on les tond !

    ...Qt 4 est une merveille.
    KDE4 est très joli...mais les machins "flashy" c'est simplement pas mon truc !
    Pour KDE4 on verra plus tard, chez moi faut que ça mature un peu...qui a dit faisandé !

Discussions similaires

  1. CKEditor 2.6.11 : mise à jour de sécurité pour cette ancienne version
    Par vermine dans le forum Bibliothèques & Frameworks
    Réponses: 0
    Dernier message: 03/06/2014, 11h23
  2. Adobe publie une mise à jour de sécurité pour Shockwave Player
    Par Francis Walter dans le forum Sécurité
    Réponses: 1
    Dernier message: 18/03/2014, 13h06
  3. Mise à jour de sécurité pour Windows XP (KB2686509)
    Par derouiche62 dans le forum Windows XP
    Réponses: 2
    Dernier message: 28/08/2012, 19h21
  4. Réponses: 21
    Dernier message: 02/04/2012, 01h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo