- ZDI-08-072: Adobe Acrobat PDF Javascript printf Stack Overflow Vulnerability
- CORE-2008-0526: Adobe Reader Javascript Printf Buffer Overflow
- Secunia Research: Adobe Acrobat/Reader "util.printf()" Buffer Overflow
C'est comme un kill de boss post-3.0 dans WoW, ca ne se poste pas tellement c'est nul. Apparemment ca n'a pas arrete grand monde.
Mes felicitations a Adobe pour avoir mis 8 mois a la patcher... Medaille d'or. Prochain post: Halloween a South Beach.
Pas huit, un peu plus de neuf :)
ReplyDeleteFrom ZDI:
2008-01-21 - Vulnerability reported to vendor
2008-11-04 - Coordinated public release of advisory
Je trouve la mise en parallèle des timelines très intéressante. En particulier les "(re)découvertes":
2008-01-21 - ZDI
2008-04-16 - Secunia
2008-05-27 - Core
Et y'en a qui croient encore que ne pas publier, ça protège les gens...
La vuln que j'ai reporte y a plusieurs mois a aussi été patch :
ReplyDeleteThis update resolves an input validation issue in a JavaScript method that could potentially lead to remote code execution. (CVE-2008-4814)
Le type de vulnérabilité n'est pas aussi simple que le printf. Néanmoins j'ai bien aimé le parallèle entre temps de recherche et temps de patch.
En faite je ne cherchais pas de vuln, mais en regardant une vuln dans javascript déjà patché j'ai trouvé celle-ci en disant 1 jour pas plus. Temps de patch ? Environ 6 mois. On sent qu'adobe s'enfiche un peu, ca sera patché quand ca sera patché ...
A ne pas refaire :x
NB: Adobe utilise sa propre heap basé sur celle de l'OS (ASMalloc) qui est pas secure du tout, qui est lente et qui ne sert a rien ... bravo !
Preuve que le ridicule ne tue pas, c'est même Slashdotté ! Décidémment...
ReplyDelete