Adobe a livré hier un correctif pour réparer la vulnérabilité critique trouvée dans son Reader, ainsi qu'il l'avait promis il y a une semaine. Un patch pour son lecteur Flash a suivi dans la journée. Lundi dernier, l'éditeur avait indiqué qu'une faille zero-day était exploitée en recourant à des documents Excel malveillants, attachés à des courriels. Il avait alors indiqué qu'il aller corriger ses logiciels Flash, Reader et Acrobat dans la semaine, sans spécifier de date. Le Reader et Acrobat étaient également vulnérables parce que la faille qui affectait Flash existait dans le composant « authplay.dll » de ces deux produits. Authpaly est l'interpréteur qui restitue les contenus Flash au sein des fichiers PDF.

Hier, Microsoft a conseillé aux utilisateurs d'Office d'utiliser son outil de sécurité EMET pour se prémunir de ces attaques. 

Les fichiers PDF, cibles potentielles

Précédemment, Adobe avait précisé que s'il avait bien constaté des attaques exploitant la vulnérabilité avec des fichiers Flash corrompus inclus dans des tableaux Excel, en revanche il n'en avait encore remarqué aucune ayant ciblé des utilisateurs avec des documents PDF altérés. Il est néanmoins possible que les cybercriminels changent de tactique et se mettent à duper les utilisateurs de cette façon. « Gardez à l'esprit que bien que nous n'ayons vu pour l'instant que des attaques prenant la forme de fichiers Flash insérés dans des fichiers Excel distribués par e-mail, nous fournissons des correctifs pour toutes les configurations et plateformes parce qu'il subsiste toujours la possibilité qu'un assaillant modifie la méthode et emploie la faille d'une autre façon », a reconnu Wiebke Lips, une porte-parole d'Adobe.

Chrome déjà corrigé, IE à vérifier

Les utilisateurs de Chrome n'ont peut-être pas besoin d'installer les correctifs livrés hier parce que Google les a appliqués la semaine dernière lors d'une mise à jour de son navigateur (qui intègre une copie du lecteur Flash). Cela dépend en fait de la présence ou non d'Internet Explorer sur leur machine. « Si l'utilisateur dispose d'une version d'IE intégrant le Flash Player, en plus de Google Chrome, il devra effectivement appliquer le correctif de Flash Player pour IE », a expliqué Wiebke Lips dans un e-mail à nos confrères d'IDG News Service. L'utilisateur peut vérifier si le lecteur Flash est installé dans IE en pointant vers ce lien fourni par Adobe.

Adobe X, protégé par sa sandbox

L'éditeur d'Acrobat n'a pas corrigé Adobe X, la nouvelle version de son lecteur PDF qui inclut une sandbox conçue pour contrecarrer la plupart des attaques. Il a rappelé que celle-ci bloquait la faille corrigée par les mises à jour d'hier et qu'elle protège aussi de l'installation du malware si les pirates décident de changer de tactique et d'opérer en passant par un fichier PDF corrompu. La mise à jour trimestrielle de Reader X n'est pas prévue avant le 14 juin prochain. Les versions corrigées du Reader, d'Acrobat et du lecteur Flash peuvent être téléchargées sur le site d'Adobe. Les utilisateurs peuvent aussi passer par l'outil de mise à jour intégré ou attendre que les logiciels leur signalent qu'une nouvelle version est disponible.