(Mise à jour) Adobe corrige la faille de sécurité PDF

Si l'on lits les PDF avec un autre logiciel que Acrobat Reader, pas de probleme ... La faille est seulement avac Acrobat...

J'ai viré Acrobat des deux pc, j'ai mis foxit, ça m'a fait gagner 300 mo en tout ce qui n'est pas négligeable.

Perso, j'utilise GSview sous Windows. Il y a deux petits logiciels à installer (GPL Ghostscript d'abord, puis GSview 4.8 qui est l'interface graphique : l'installation est simple et classique, il faut juste en faire deux). C'est léger, très rapide, le logiciel supporte le français et en prime, le tout est open source. Une petite recherche sur Google ou dmoz retourne la bonne réponse en haut de page. Après, je n'ai pas testé Foxit qui est un freeware, je ne peux donc pas les comparer, mais cela montre au moins que des alternatives existent.

C'est incroyable qu'il y ait encore des gens qui utilisent Acrobat Reader. Plusieurs centaines de Mo pour un visionneur c'est exagéré. Comme pour tous les logiciels Adobe !
Foxit Reader ne fait qu'1 Mo et lit aussi bien tous les fichiers pdf !

Une bonne fois pour toute, arrêtez de confondre "Malicieux" et "Malveillant" ! Est-ce que vous avez un SR, sur ce site, à défaut d'un correcteur ?

Dans la première phrase de cet article il y a un lien vers la page du découvreur de la faille.
On y trouve ceci :
- - - - - - - - - -
Other PDF viewers might be vulnerable too.
- - - - - - - - - -

Il est donc inutile, et fort peu à propos, de vanter l'utilisation de viewers alternatifs.
A la limite, il est même fort probable que seule Adobe aura les éléments de cette faille pendant un temps.

Bon voilà.

Plus rapidement qu'un lecteur libre? J'ai un gros doute.

Le descriptif détaillé de la faille est gardé par le découvreur de celle-ci qui se contente de déclarer qu'il existe une faille.
Dès qu'il aura publié les éléments de cette faille, oui on peut penser que les produits libres (et pas les freewares comme foxit par exemple) seront modifiés très rapidement. Mais ce n'est pas le cas.
Il déclare même qu'il publiera tout cela dès que Adobe mettra à disposition un correctif. Bien-sûr tous les autres produits auront donc dès lors un temps de retard.

Le mieux est d'aller voir sa page dont le lien est dans l'article hein...

- - - - - - - - - -

Ce qui veut dire que d'autres lecteurs PDF pourraient être touchés aussi. C'est au conditionnel. C'est sûr pour Adobe Reader, parce que les tests concernaient ce logiciel, c'est peut-être possible pour les autres. Il me semble donc que vous avez choisi la ligne sujet de votre message un peu vite.



Voire plus haut. De plus, après avoir goûté à des douleurs anales de première magnitude à chaque chargement interminable de Adobe Reader, je crois qu'il n'est pas inutile de parler des alternatives. Même indépendamment de cette faille.



Ghostcript GPL est toujours activement développé donc leur correctif, si besoin en était, ne tardera pas je pense.

Notez aussi que le site depuis lequel vous avez collé un extrait plus haut contient aussi ce qui suit, juste à côté "(...) and the fact that it may take a while for Adobe to fix their closed source product, are the reasons why I am not going to publish any POCs." : (...) et le fait qu'il faudra peut-être du temps à Adobe pour corriger leur produit à code source fermé sont les raisons pour lesquelles je ne vais pas publier de preuve (POC, proof of concept).

Autrement dit, il a l'air de penser s'il publiait la faille, les lecteurs alternatifs libres (si ces lecteurs contiennent effectivement des failles) les corrigeraient probablement avant Adobe. Ce n'est pas moi qui le dit, c'est le découvreur de la faille en question.


De même.

Lisez donc au lieu de rechercher des prétextes.
Si Petko D. Petkov prend soin de prévenir que cette faille n'est pas forcément QUE Adobe c'est justement pour ne pas laisser croire, lui, que c'est forcément mieux avec d'autres viewers. En ce sens, il n'est pas correct d'inciter à croire que c'est sécurisé avec d'autres viewers. Et puis c'est tout. Rien d'autre n'a été dit, mais ah oui, pardon, "on" a osé parler du libre en osant suggérer que des produits libres "pourraient" ne pas être secure au jour J. Affligeant mais drôle quand même !

Autrement on peut trouver des tas d'airs à ce qu'il dit.
N'empêche, s'il ne publie pas de POC, les développeurs du libre, bien sûr très prompts à réagir et publier des correctifs, ne peuvent pas grand chose, sauf à retrouver eux-mêmes la faille.

C'est pourquoi, sauf changement d'avis de Petko D. Petkov (et je l'espère aussi qu'il changera d'avis !) les développeurs du libre auront un temps de retard sur Adobe. Point barre ! "Un temps" ne veut pas forcément dire longtemps en outre.

Vous me dites de relire au lieu de rechercher des prétextes, mais je vais tout de même vous retourner le compliment et vous demander de relire l'échange : vous avez lu où exactement que je cherchais à inciter à croire que c'est sécurisé avec d'autres viewers ? Il n'y a que des faits : il y a une faille selon Petkov dans Adobe Reader, il dit qu'il n'a pas testé avec les autres lecteurs. Bref, les autres pourraient avoir la faille, mais ce n'est pas sûr en l'état actuel de nos connaissances. Moi, perso, je peux me tromper mais je ne vois pas d'incitations incorrectes destinées à induire d'innocents lecteurs en erreur là-dedans. Et notez aussi le passage sur la rapidité des applications et ce, indépendamment de la faille.



Tenons-nous en aux faits en essayant de rester calme, au lieu de chercher des "prétextes" ou des "airs", ça sera plus productif. Niveau choix de votre lignes de sujet "affligeant mais drôle...", je répète donc ma remarque de mon message précédent. Et "on" peut tout à fait oser parler du libre et suggérer que les produits libres "pourraient" ne pas être corrigé le jour J, il n'y a aucun problème là-dedans.


Ça va être intéressant de suivre comment ça va évoluer et de voir qui a les failles et qui les corrigera le premier. L'avenir nous le dira.



Nous sommes d'accords là-dessus. AMHA il ne changera probablement pas d'avis, Adobe Reader occupant une très grande partie des parts de marchés, un révélation publique pourrait causer des dégâts considérables, et Adobe peut toujours sortir son chéquier pour avoir la primeur des informations - ce qui est plus difficile pour les alternatives libres. Même si le modèle fermé est moins efficace pour corriger la faille, et même si les alternatives libres sont priées de faire la queue.

Ceci dit, avec IE et Firefox, on a vu quel modèle était plus efficace pour colmater les failles quand ils étaient révélés au même moment à tout le monde. Maintenant, c'est le niveau au dessus, on va voir comment ça se passe avec une avance donnée au modèle propriétaire. :sol:

Une chose est sure c'est que cela concerne seulement Acrobat reader 8 et peut etre les alternatif mais seulement sous XP.
Donc sous Mandriva avec Acrobat 8 pas de probleme !
A vous de voir....
.