Microsoft livre un outil anti-failles « zero day » affectant les produits Adobe
L’outil Enhanced Mitigation Experience Toolkit (EMET) de Microsoft a vocation à bloquer ce type d’attaques. Alors que de nouvelles failles de sécurité sont recensées sur Adobe Reader et Adobe Acrobat.
Les utilisateurs d’Adobe Acrobat et d’Adobe Reader sur Windows disposent maintenant d’un bouclier potentiel censé les protéger en cas d’attaques de type « zero-day » [attaque qui consiste à viser une faille à peine dévoilée, ndlr].
Le 10 septembre, Microsoft et Adobe ont annoncé la dernière mouture de l’outil Enhanced Mitigation Experience Toolkit (EMET) de Microsoft, qui a vocation à bloquer ce type d’assaut.
Cette annonce commune survient alors que des informations circulent sur un nouvel « exploit » [instructions qui permettent l’exploitation de la faille, ndlr] encore non répertorié dans les bases de signature.
Il permet de contourner les fonctions de prévention d’exécution des données de Microsoft par le biais du système dit ROP (ou return-oriented programming).
Microsoft fournit des précisions à travers une contribution sur un blog « maison » dédié à la sécurité en date du 10 septembre. « Normalement, le procédé Address Space Layout Randomisation (ASLR) devrait empêcher tout ‘exploit’ d’aboutir à ses desseins (…) Cependant, cet exploit embarque un fichier DLL (icucnv36.dll) avec un procédé ASLR qui ne fonctionne pas. Sans ASLR, ce fichier est toujours susceptible d’être chargé sur une adresse d’attaque et peut servir de levier pour un exploit. »
Selon Microsoft, EMET 2.0 a vocation à bloquer un « exploit » en installant un « ASLR obligatoire », tout comme une fonction « export address table access filtering » (visant à empêcher un exploit d’accéder aux API Windows des fonctions systèmes).
De son côté, Adobe déclare ne disposer que peu de détails techniques sur la nouvelle faille en exposition.
Néanmoins, dans un bulletin de recommandation, Secunia, un cabinet d’études sur les failles de sécurité, a identifié une nouvelle vulnérabilité affectant Adobe Reader et Acrobat (une « boundary error » en lien avec le fichier CoolType.dll).
Deux logiciels sont particulièrement exposées : Adobe Reader 9.3.4 (et les déclinaisons précédentes sous Windows, Macintosh et Unix) et Adobe Acrobat 9.3.4 (plus les anciennes versions sous Windows et Macintosh).
Dans son édition du jour, Silicon.fr fournit un update de l’état des lieux.
Bien que Microsoft et Aobe suggèrent de tester EMET, les deux éditeurs précisent néanmoins que seuls des tests restreints de la compatibilité fonctionnelle de cet « outil de médiation » ont été réalisés.
Par conséquent, ils recommandent aux utilisateurs d’effectuer des essais dans leurs propres environnements.
Adobe a déclaré qu’il comptait réparer la brêche mais sans donner d’échéance.
Adaptation en français d’un article eWeek.co.uk en date du 13 septembre 2010 : Microsoft Tool Protects Against Adobe Zero-Day Exploit