J'avais la reponse a cette question mais je n'ai rien dit. Maintenant c'est public:
http://www.adobe.com/support/security/advisories/apsa08-01.html
"Acrobat and Adobe Reader 7.0.9 and earlier versions are also affected by these vulnerabilities. Adobe will provide further information as to the nature of the vulnerabilities via the company's Security Bulletins and Advisories page (http://www.adobe.com/support/security/) once updates are available for all affected versions of Acrobat and Adobe Reader. "
En gros la branche 7 etait pas patchee mais vulnerable... Elle ne l'est toujours pas puisque leur solution est de passer a la 8.1.2. C'est stupide. En 2008, si vous sortez un patch, vous aurez suffisamment de personnes qui le decortiqueront dans le monde pour que tout ce que vous fixez soit trouve. Et ca ne sera pas necessairement public. Surtout un stack overflow dans un parametre de fonction, tres 1992AD. Ca merite un award!
Le CERTA a mis a jour son bulletin:
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html
"1 Risque
Exécution de code arbitraire à distance ;
contournement de la politique de sécurité."
Ca meriterait meme une alerte concernant la branche 7.
Leveling Up Fuzzing: Finding more vulnerabilities with AI
-
Posted by Oliver Chang, Dongge Liu and Jonathan Metzman, Google Open Source
Security Team
Recently, OSS-Fuzz reported 26 new vulnerabilities to open source...
3 days ago
1 comment:
Et sur le "nouveau" portail securite-informatique.gouv.fr, encore un contournement de la politique de sécurité. Décidemment...
http://www.securite-informatique.gouv.fr/gp_article585.html
Post a Comment