Page 1 sur 1

[Info] Adobe Acrobat : déjà corrigée, une faille dans l'extension Chrome confirme les craintes

Posté : jeu. 19 janv. 2017 11:05
par chantal11
Bonjour,
Adobe Acrobat : déjà corrigée, une faille dans l'extension Chrome confirme les craintes

La semaine dernière, Adobe forçait pratiquement les utilisateurs d’Acrobat à se servir de son extension Chrome. Le danger ne sera pas resté potentiel bien longtemps : une faille de sécurité y est présente.

Comme nous l’avions indiqué dans notre article, le fait de forcer une installation comporte essentiellement deux problèmes. D’une part, la négation du choix, qui conduit l’utilisateur à ne plus faire confiance. D’autre part, l’accroissement du danger en cas de faille de sécurité. Malheureusement, il y a bien un problème.

Ce qui devait arriver arriva

Il a été découvert par le chercheur Tavis Ormandy du Project Zero. Ce dernier est pour rappel une initiative de Google qui vise à découvrir et répertorier les failles de type 0-day pour y remédier aussi rapidement que possible. La politique est d’ailleurs stricte : l’éditeur concerné n’a que 10 à 90 jours pour proposer une solution, selon la dangerosité du problème découvert. Dans le cas présent, Adobe disposait de 90 jours.

L’éditeur a en effet réagi très rapidement : en quelques heures, le problème était résolu, comme indiqué dans la (courte) conversation qui s’en est suivie. Il était indiqué dans la description que le bug ne pouvait sans doute pas autoriser directement une attaque de type cross-site scripting, à cause de la Content Security Policy. Le contournement ne semblait cependant pas complexe à mettre en œuvre et le risque était donc réel, même si la faille n’était pas considérée comme critique.
Lire la suite sur NextInpact