Tuesday, November 4, 2008

Adobe Acrobat Madness

Allez, grande demonstration de stupidite:
Tout le monde l'avait cette vulnerabilite, il fallait vraiment etre idiot pour passer a cote (allez question du jour: qui l'avait vu aussi?).

C'est comme un kill de boss post-3.0 dans WoW, ca ne se poste pas tellement c'est nul. Apparemment ca n'a pas arrete grand monde.

Mes felicitations a Adobe pour avoir mis 8 mois a la patcher... Medaille d'or. Prochain post: Halloween a South Beach.

3 comments:

Sid said...

Pas huit, un peu plus de neuf :)

From ZDI:

2008-01-21 - Vulnerability reported to vendor
2008-11-04 - Coordinated public release of advisory


Je trouve la mise en parallèle des timelines très intéressante. En particulier les "(re)découvertes":

2008-01-21 - ZDI
2008-04-16 - Secunia
2008-05-27 - Core

Et y'en a qui croient encore que ne pas publier, ça protège les gens...

mxatone said...

La vuln que j'ai reporte y a plusieurs mois a aussi été patch :

This update resolves an input validation issue in a JavaScript method that could potentially lead to remote code execution. (CVE-2008-4814)

Le type de vulnérabilité n'est pas aussi simple que le printf. Néanmoins j'ai bien aimé le parallèle entre temps de recherche et temps de patch.

En faite je ne cherchais pas de vuln, mais en regardant une vuln dans javascript déjà patché j'ai trouvé celle-ci en disant 1 jour pas plus. Temps de patch ? Environ 6 mois. On sent qu'adobe s'enfiche un peu, ca sera patché quand ca sera patché ...

A ne pas refaire :x

NB: Adobe utilise sa propre heap basé sur celle de l'OS (ASMalloc) qui est pas secure du tout, qui est lente et qui ne sert a rien ... bravo !

Sid said...

Preuve que le ridicule ne tue pas, c'est même Slashdotté ! Décidémment...