Faille pour le lecteur Adobe PDF dédié à Android

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.

 

Une réflexion sur « Faille pour le lecteur Adobe PDF dédié à Android »

  1. il n’y a pas de langage intrinsèquement bancal ( 😉 ), seulement des codeurs qui ne savent pas coder secure.

    On peut très bien faire du js sécurisé et de l’Ada mal sécurisé.

    Dans le cas des langages interprétés, en plus, une partie de la sécurité dépend de l’interpréteur…

Les commentaires sont fermés.