Nitro PDF Pro : une mise à jour de sécurité empêche l’exécution de code via des PDF préparés

Des chercheurs de Cisco Talos ont découvert une faille de sécurité dans le logiciel payant Nitro PDF Pro pour Windows. Les attaquants auraient pu l’utiliser pour exécuter du code sur des ordinateurs étrangers – à condition toutefois que leur victime ouvre un fichier PDF spécialement préparé à cet effet dans une version PDF Pro vulnérable sur l’ordinateur cible.

Les éléments suivants sont affectés par la vulnérabilité avec l’ID CVE-2021-21798 avec la note « High » (score CVSS 8.8) Toutes les versions de Nitro PDF Pro jusqu’à la version 13.47 incluse. sont affectés. Une mise à jour vers une version plus récente (actuellement, selon l’aperçu des notes de mise à jour du fabricant PDF Pro 13.49.2.993) protège contre les attaques possibles, qui n’ont probablement pas encore été observées.

Un article de blog de l’équipe Talos de Cisco et un rapport de vulnérabilité Talos sur CVE-2021-21798 fournissent des informations techniques détaillées sur la vulnérabilité.

Selon la présentation de la mise à jour de sécurité pour Nitro Pro, une deuxième vulnérabilité, plus ancienne, a été corrigée avec la sortie de la version 13.49.2.993, qui affectait également Nitro PDF jusqu’à la version 13.47 incluse. CVE-2018-1285 se trouvait dans du code tiers, à savoir dans Apache log4net, mais a déjà été supprimé de celui-ci en septembre 2020. Apparemment, l’équipe de développement de Nitro vient seulement de mettre à jour le code log4net obsolète dans son logiciel.

Le classement « Critique » de l’entrée NVD pour CVE-2018-1285 souligne l’importance d’une mise à jour rapide de PDF Pro. Selon la description, les attaquants auraient pu mener des attaques dites XEE (XML external entity) sur l’analyseur XML en utilisant des fichiers de configuration préparés par log4net. Les conséquences qu’une telle attaque pourrait avoir dans le cas de Nitro Pro PDF restent ouvertes. En général, cependant, les attaques XEE pourraient être utilisées pour provoquer un déni de service ou pour accéder au contenu de documents sensibles.

Les utilisateurs doivent effectuer les préparatifs énumérés dans l’aperçu de la mise à jour de sécurité avant d’effectuer la mise à jour.

  • Outils PDF à heise Télécharger


(ovw)

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici