L'éditeur en sécurité McAfee pointe du doigt une nouvelle faille
relevée dans le logiciel Adobe Reader : elle permet de suivre l'usage
qui est fait d'un document PDF par un tiers.
Si
la faille découverte par McAfee n'est pas plus grave que certaines
autres, dans la mesure où elle ne permet pas d'exécuter du code et de
prendre le contrôle d'une machine, par exemple, elle dénote malgré tout
d'un problème de sécurité et de vie privée. L'éditeur en sécurité a
ainsi découvert que des hackers exploitaient cette faille pour
déterminer où et quand un document PDF précis était ouvert et lu par son
destinataire. En utilisant des API à base de Javascript, la personne à
l'origine de l'envoi du fichier peut ainsi avoir accès à certaines
informations potentiellement sensibles, comme son adresse IP, ou bien
l'emplacement du PDF sur le disque dur.
McAfee
ne se veut pas alarmiste : par défaut, l'utilisateur doit accepter
l'activation de la connexion du PDF à un site extérieur. Néanmoins, il
est possible que la personne ait déjà activé cette fonction par défaut,
ou ne saisisse pas les enjeux de cette activation. L'éditeur estime
qu'il s'agit donc d'un vrai problème de sécurité, et a contacté Adobe
pour signaler le problème : ce dernier n'a pas encore communiqué sur le
sujet.
source
Aucun commentaire:
Enregistrer un commentaire