Symantec a découvert qu'un cheval de Troie circule actuellement caché dans des fichiers PDF attachés à des emails.
"Le programme malveillant libère un fichier identifié sous le nom Trojan.Pidief.H qui permet une prise de contrôle à distance de l'ordinateur infecté", explique le site Zdnet.
Problème : cette faille ne sera corrigée que le 12 janvier 2010 !
En attendant, les utilisateurs sont invités à désactiver JavaScript en allant dans les préférences d'Acrobat et de Reader. Les plus aguerris peuvent utiliser l'application JavaScript Blacklist Framework qui permet de sélectionner les fonctions JavaScript à désactiver.
Mais les pirates profitent déjà de cette brèche pour balancer leurs codes malveillants.
Cet exemple confirme que l'arrêt de la Cour de cassation concernant la publication de failles de sécurité aura des répercussions négatives.
Aux yeux de nombreux experts, le "full disclosure" apparait en effet comme un moyen efficace pour inciter les éditeurs à corriger rapidement des failles de sécurité.
"Le jour où il y aura un problème de sécurité avec des conséquences graves, on pourra incriminer le chercheur pour mise en danger informatique d’autrui en ne révélant pas publiquement un problème de sécurité. N’y a-t-il finalement pas une obligation civique d’en informer le public ?», se demande Eric Filiol, Directeur de la recherche de l’ESIEA (École Supérieure d’Informatique Electronique Automatique) et du laboratoire de cryptologie et virologie opérationnelles.
Rien ne sert, en effet, de convaincre le grand public et les entreprises à s'équiper en logiciels de sécurité et à mettre à jour tous leurs logiciels, si les éditeurs ne font pas correctement leur travail !
Aucun commentaire:
Enregistrer un commentaire