J'avais la reponse a cette question mais je n'ai rien dit. Maintenant c'est public:
http://www.adobe.com/support/security/advisories/apsa08-01.html
"Acrobat and Adobe Reader 7.0.9 and earlier versions are also affected by these vulnerabilities. Adobe will provide further information as to the nature of the vulnerabilities via the company's Security Bulletins and Advisories page (http://www.adobe.com/support/security/) once updates are available for all affected versions of Acrobat and Adobe Reader. "
En gros la branche 7 etait pas patchee mais vulnerable... Elle ne l'est toujours pas puisque leur solution est de passer a la 8.1.2. C'est stupide. En 2008, si vous sortez un patch, vous aurez suffisamment de personnes qui le decortiqueront dans le monde pour que tout ce que vous fixez soit trouve. Et ca ne sera pas necessairement public. Surtout un stack overflow dans un parametre de fonction, tres 1992AD. Ca merite un award!
Le CERTA a mis a jour son bulletin:
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html
"1 Risque
Exécution de code arbitraire à distance ;
contournement de la politique de sécurité."
Ca meriterait meme une alerte concernant la branche 7.
Google Workspace’s continuous approach to mitigating indirect prompt
injections
-
Posted by Adam Gavish, Google GenAI Security Team
Indirect prompt injection (IPI) is an evolving threat vector targeting
users of complex AI applications w...
1 week ago
1 comment:
Et sur le "nouveau" portail securite-informatique.gouv.fr, encore un contournement de la politique de sécurité. Décidemment...
http://www.securite-informatique.gouv.fr/gp_article585.html
Post a Comment