Alléluia !

Publié le 02 mai 2009 par Sid

C

hantons en chœur mes frères, Adobe semble avoir été touché, au moins temporairement, par la lumière. Non pas parce qu'ils se sont montré particulièrement prompts, par rapport à leurs habitudes, à confirmer la vulnérabilité qui touche aujourd'hui toutes les versions de d'Adobe Reader et Acrobat sur toutes les plate-formes. Non. Plutôt parce qu'ils ont enfin fait un pas vers l'évidence...

To mitigate the issue disable JavaScript in Adobe Reader 
and Acrobat

Et bien oui, enfin, il leur a fallu du temps pour arriver à nous la pondre celle-là. Même si ce n'est encore qu'un workaround pour se mettre à l'abri de cette faille, il n'en permet pas moins d'en éviter une seconde dont ils ne parlent pas des masses, et de se protéger des 0days qui courent.

Parce que ce n'est pas faute de le répéter. Le support JavaScript dans les lecteurs PDF, et en particulier quand il s'agit de ceux d'Adobe, est une source intarissable de vulnérabilités. Et lorsqu'on considère ce que ça apporte à l'utilisateur en terme de "user experience" de pouvoir exécuter du JavaScript en affichant des PDFs, c'ets à se demander pourquoi il est encore activé par défaut dans la plupart des produits qui le supportent. En tout cas, chez moi, ça fait longtemps qu'il est au placard. Ne serait-ce que parce que j'utilise principalement, hors très rares exceptions, Xpdf et Evince.

Et si on me demande de justifier ces affirmations, ce n'est pas très difficile. Prenez simplement la liste des avis de sécurité publiés par Secunia sur Adobe Reader 8. Juste parce que c'est le plus déployé à l'heure actuelle, donc celui qui donne les résultats les plus significatifs je pense. Il y a donc 7 alertes, dont une seule ne contient pas de vulnérabilité attribuable au support Javascript. Ces avis contiennent un total de 28 vulnérabilités, sur lesquelles 10 concernent directement JavaScript, soit un gros tiers du total. 9 de ces 10 failles permettent d'exécuter du code arbitraire sur la cible. Elles réprésentent d'ailleurs plus de la moitié des failles qui permettent d'en arriver là, parmis lesquelles les failles sur l'interprétations des flux au format JBIG2 se taille également une grosse part. Et malheureusement, certaines d'entre elles on fait l'objet de 0days dernièrement...

Une autre façon de se convaincre du bien fondé de la désactivation du support JavaScript serait de s'intéresser à la présentation qu'ont faite Frédéric Raynal et Guillaume Delugré à Pacsec en novembre dernier. Ou de venir au prochain SSTIC pour assister à la nouvelle mouture de leur présentation. Ça se passe de commentaire.

Enfin, il reste la méthode que conseille aujourd'hui par F-Secure, et à laquelle j'essaye de me tenir depuis bien longtemps déjà, à savoir ne pas utiliser les produits Adobe pour lire les fichiers PDF. C'est effectivement une solution envisageable, d'autant que les altrernatives ne manquent pas, en particulier dans le monde du logiciel libre. Cependant, il ne faudrait pas croire qu'on éliminera ainsi le risque, surtout si on en vient à opter pour des solutions concurrentes qui supportent également le JavaScript par défaut et se retrouve impactés par des failles similaires, sinon identiques...