Friday, February 8, 2008

Pourquoi Adobe se taisait?

J'avais la reponse a cette question mais je n'ai rien dit. Maintenant c'est public:

http://www.adobe.com/support/security/advisories/apsa08-01.html

"Acrobat and Adobe Reader 7.0.9 and earlier versions are also affected by these vulnerabilities. Adobe will provide further information as to the nature of the vulnerabilities via the company's Security Bulletins and Advisories page (http://www.adobe.com/support/security/) once updates are available for all affected versions of Acrobat and Adobe Reader. "

En gros la branche 7 etait pas patchee mais vulnerable... Elle ne l'est toujours pas puisque leur solution est de passer a la 8.1.2. C'est stupide. En 2008, si vous sortez un patch, vous aurez suffisamment de personnes qui le decortiqueront dans le monde pour que tout ce que vous fixez soit trouve. Et ca ne sera pas necessairement public. Surtout un stack overflow dans un parametre de fonction, tres 1992AD. Ca merite un award!

Le CERTA a mis a jour son bulletin:
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html

"1 Risque
Exécution de code arbitraire à distance ;
contournement de la politique de sécurité."

Ca meriterait meme une alerte concernant la branche 7.

1 comment:

FatCat said...

Et sur le "nouveau" portail securite-informatique.gouv.fr, encore un contournement de la politique de sécurité. Décidemment...

http://www.securite-informatique.gouv.fr/gp_article585.html