C'est IE8 qui est à l'origine de ça. Et Chrome lui a emprunté.Envoyé par Gordon Fowler
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
C'est IE8 qui est à l'origine de ça. Et Chrome lui a emprunté.
Ouais, et c'est Opera qui est à l'origine de la navigation par onglet... Intéressant...
C''est quand même naze de voir une société aussi importante qu'adobe ne pas être capable de créer deux cycles de développements concurrents pour répondre à deux nécessité d'évolution différente d'un même logiciel.
Ce problème est commun à tous les projets, nous avons tous besoins d'avoir des cycles de dev +/- longs pour la vie du logiciel, mais aussi d'un cycle de développement très cours pour apporter des correctifs on the fly ou de dernière minute.
Enfin bon, si il décide de continuer leur cycle de release long, la question qui reste est, la faille était elle détectable par un process automatique type fuzzing.
Auquel cas ils ont bien merdé.
Autrement, bon, analyse, développement, controle, patch, déploiement hein.
Mise à jour :
Enfin un patch de sécurité pour la faille critique d'Acrobat Reader
Les experts invitent les utilisateurs à l'installer sur-le-champ
Enfin. Il est sorti.
Après de très longues semaines, où les hackers ont pu exploiter une vulnérabilité rendu publique.
L'essentiel est aujourd'hui qu'Adobe ait sortie son patch de sécurité pour son lecteur de PDF Acrobat Reader et que la faille, qualifiée de critique, soit enfin colmatée.
nCircle Network Security appelle, par la voix de son président, à immédiatement appliquer cette mise à jour, bien plus importante, à ses yeux, que le Tuesday Patch de Microsoft sorti simultanément.
Et il n'est pas le seul. D'autres conseils en sécurité tentent de faire passer le message le plus largement possible : "Updatez Acrobat Reader sur-le-champs".
Les patches sont disponibles sur le site d'Adobe.
En attendant les mises à jour automatiques donc...
Bonsoir
je viens d'aller faire un tour chez Ah !!! Daube ... via le lien proposé
ATTENTION : toutes les pages que j'ai visité pour télécharger une version (8.2 ; 9.3) proposent l'installation de Macaffi machin chose !!!!!
Pensez à décocher la case si vous souhaitez ... vous en passer ...
D'autre part ce n'est pas une mise à jour qui est proposée mais une nouvelle version complète ...
Cordialement
Deux nouvelles failles patchées, cette fois-ci, en urgence
Les PDF corrompus seraient impliqués dans 80 % des attaques
Adobe patche deux failles en urgence : pourquoi cette fois-ci et pas les autres ?
Adobe vient de patcher en urgence deux failles dans son lecteur et son éditeur de PDF (Reader et Acrobat).
La première pouvait donner lieu à des attaques de type cross-scripting (XSS). La deuxième, véritable vulnérabilité, permettait d'installer des malwares à l'insu de l'utilisateur.
La deuxième faille n'a pas été mise à jour par Adobe mais par Microsoft, au sein du Microsoft Vulnerability Research Program, qui étudie les problèmes de sécurité des applications tiers.
Adobe a - pour une fois disent certains - pris en compte ces indications.
Ce qui pourrait paraitre normal ne l'est en fait pas pour cette société.
L'éditeur a en effet mis au point un système de patchs délivrés à périodicité fixe (un tous les trois mois).
Éditer un correctif de sécurité avant la date prévue peut donc être vue comme une nouvelle en soit.
Une bonne nouvelle. La question reste de savoir qui décidera de patcher en urgence ou de continuer la politique du "cycle fixe". Et cette question n'a pas de réponse, tout du moins en externe.
Adobe, dans un communiqué à la presse, affirme qu'il analyse les failles au cas par cas pour offrir le plus de sécurité possible à ses utilisateurs. Sans aucune autre précision sur son mécanisme de décision.
Jusqu'ici la réalité était légèrement différente pour les utilisateurs.
La société avait par exemple refusé de patcher "en urgence" une faille critique de Reader pourtant exploitée par des hackers, et ce au motif qu'un tel patch casserait les cycles de sortie des correctifs (lire ci-dessous). Un sujet sur lequel Adobe refuse encore de s'exprimer.
Ce changement d'attitude - s'il se confirme - est en tout cas une bonne nouvelle pour les utilisateurs.
Reste donc à espérer qu'elle deviendra la norme chez Adobe, la sécurité informatique ne pourra qu'en sortir renforcée.
Une étude de ScanSafe vient en effet de révéler que des PDFs malicieux étaient impliqués dans plus de 80 % des exploits de l'année 2009.
Les patchs de Reader et Acrobat sont disponibles ici.
Source : L'étude de ScanSafe
Lire aussi
Pour Steve Jobs "les développeurs d'Adobe sont des feignants", Flash est "buggué" et bientôt "plus personne ne l'utilisera"
Et vous ?
S'ils en arrivent au point où c'est Microsoft qui leurs corrigent les failles, Adobe a vraiment du souci à se faire
Mais décidément ils sont attaqués de partout, les vulnérabilités de Flash à la pelle, et des PDFs ... c'est vraiment pourri ou est-ce parce que la surface d'exposition de ces logiciels est extrêmement grande ?
@Smiley, hello qu'entends tu par surface ? Parles du même phénomène qui accable android et la fragmentation de son os ?
Tout d'abord, Smyley
Ensuite, non.
Ce dont je parle c'est le nombre d'endroits où Flash est utilisé.
Statistiquement on a beaucoup plus de chances de trouver des failles sur un produit extrêmement répandu que d'en trouvé sur un produit utilisé que par une partie restreinte de la population, a qualité égale.
Du coup, Flash n'est pas forcément une bouse sans nom comparé aux autres technologies si on considère que dans l'ère actuelle, s'il y a bien un logiciel que l'on retrouve partout c'est bien Flash ...
Mise à jour :
Nouvelle faille critique dans Adobe Download Manager
L'utilitaire installé avec Flash et Reader, Adobe explique comment la colmater
Adobe appelle les utilisateurs de Flash et de Adobe Reader à mettre le plus rapidement à jour le programme qui permet – justement - de mettre à jour les deux technologies.
Download Manager s'installe en parallèle dès qu'un utilisateur télécharge l'un de ces deux programmes. En résumé, il seconde Adobe Updater, notamment en surveillant les transferts de fichiers depuis le site d'Adobe. Il gère, par exemple, les téléchargements interrompus et les mises en attentes.
L'utilitaire n'est pas à proprement parlé un produit maison. Adobe Download Manager est en fait une version personnalisée de getPlus +.
Quoi qu'il en soit, une faille de sécurité qui « permet potentiellement à un pirate de télécharger et d'installer des logiciels non autorisés sur le système » a été trouvée dans Download Manager.
Qualifiée de critique, Adobe recommande fortement de vérifier si ce service est présent sur votre machine et le cas échéant de colmater la faille dès que possible.
Pour cela, aucun patch n'est à installer.
La marche à suivre proposée par la société consiste à désinstaller purement et simplement - et manuellement - le service « getPlus Helper » présent dans le dossier « C:\Program Files\NOS\ » ou via la ligne de commande « services.msc ».
Une manipulation qui enchantera certainement l'utilisateur novice.
Source : Les recommandations d'Adobe
Et vous ?
Bientôt, Adobe va nous demander de débugger nous même leurs programmes
C'est un peu naze pour adobe toutes ces failles.
Adobe c'est tout de même photoshop, un logiciel qui à vachement bien vieillit.
Et le PDF n'est pas rien.
Cependant, depuis que macromedia les à rejoints, c'est plus tout à fait pareil...
M'enfin, là c'est du n'importe quoi. Je me demande même pourquoi ils n'ont pas utilisé leur outils de mise à jour pour patcher la faille.
Comme une envie de se tirer une balle dans le pied ?
C'est pire que ça puisque ADM n'est même pas un produit 100% Adobe.Bientôt, Adobe va nous demander de débugger nous même leurs programmes
En plus c'est pas non plus une petite faille, ça permet via l'uploader officiel d'installer des programmes non désirés !
C'est comme si en passant par Windows Update on se retrouvait avec des trojans. Vu le nombre d'utilisateurs ça ferait mal.
Néanmoins ça permet surtout pour moi de soulever un autre point : à partir du moment ou un logiciel, qui plus est officiel et venant d'un très gros éditeur, permet d'installer des programmes non désirés (et surtout malveillants), jusqu'à quel point aujourd'hui peut-on faire confiance dans un logiciel quel qu'il soit ?
Heureusement, sur toutes les machines où j'ai installé Adobe Reader, je l'ai fait sans passer par Adobe DLM mais en téléchargant directement l'EXE. Je n'ai jamais eu confiance en ce truc.
Le pire je pense, c'est pour l'installation de Flash. Télécharger l'EXE d'installation est beaucoup plus simple et plus rapide que de passer par DLM, qui doit être 2× plus gros que le programme d'installation de Flash lui-même
Il reste à mon avis encore beaucoup à faire.
Les failles découvertes risque d'ailleurs d'être de plus en plus nombreuse.
C'est une bonne chose, plus ils en corriges moins y'en reste.
Tout à fait ça me semble être un bon signe. A première vue la faille serrait apparue le 18 fev, et une solution est apporté le 23 fev. C'est encore long, mais y'as du progrès.
Et avec l'outil de ajout/suppression de programme ?La marche à suivre proposée par la société consiste à désinstaller purement et simplement - et manuellement - le service « getPlus Helper » présent dans le dossier « C:\Program Files\NOS\ » ou via la ligne de commande « services.msc ».
If the NOS files are found(C:\Program Files\NOS\ folder), the Adobe Download Manager issue can be mitigated by:
* Navigating to Start > Control Panel > Add or Remove Programs > Adobe Download Manager, and selecting Remove to remove the Adobe Download Manager from your system.
Un PDF malicieux exploite la faille d'Adobe Reader
L'éditeur pousse à appliquer son patch sorti en urgence
Un PDF malicieux circule actuellement. Il aurait réussi à télécharger un cheval de Troie sur les machines des utilisateurs qui n'ont pas encore appliqué le correctif publié il y a maintenant trois semaines par Adobe à ses produits Reader et Acrobat.
Cette attaque exploite la faille, qualifiée de sérieuse, qui avait été découverte par Microsoft (lire ci-avant). Elle touche les versions 8.2.0 et celles antérieures à la 9.3.0.
Adobe recommande donc très fortement de passer sur-le-champs aux versions 8.2.1 ou 9.3.1.
Pour mémoire, la société avait exceptionnellement cassé son cycle de développement de sécurité pour sortir un patch en urgence. Une décision saluée par les experts.
Reste cependant à ce qu'il soit appliqué... (il se trouve ici).
Le PDF malicieux a lui aussi été repéré par Microsoft.
Cette faille qui touche Adobe Acrobat et Reader ne doit pas être confondue avec une autre vulnérabilité, dans Adobe Download Manager, et qui doit elle aussi être prise en compte.
Source : L'annonce de Microsoft sur la découverte du PDF malicieux
Et vous ?
Adobe Reader est gratuit, Adobe devrait donc obliger les utilisateurs à installer la dernière version du lecteur et ne plus proposer les anciennes qui de toute façons sont obsolètes.
La mise à jour devrait s'installer toute seule (un peu comme le propose Firefox quand une nouvelle version est prête à être installée) dans ce cas sans demander l'avis de l'utilisateur quand il s'agit d'une telle faille.
Il n'y a pas beaucoup d'intéret a rester avec une vieille version 8 voire inférieure. Surtout que la 9 est nettement plus rapide au démarrage que les précédentes versions
de toute façon les éditeurs d'antivirus(le mien avira gratuit) ont mis à jour leurs bases non ?
Répondre avec citation
Partager