Presque toutes les failles corrigées dans le lecteur PDF ont été qualifiées de «critiques» par Adobe, ce qui signifie qu'elles pourraient être exploitées par des attaquants pour introduire des logiciels malveillants sur un système non patché. Cependant, l'éditeur indique que pour plusieurs bugs, il n'est pas certain que l'exécution de code à distance soit possible. 2 failles parmi les 29 seraient vulnérables à des attaques dites «cross-site scripting » (XSS), une tactique banale utilisée par les voleurs d'identité qui ciblent les navigateurs Internet. En particulier, les pirates pourraient exploiter une de ces deux vulnérabilités - dans Windows seulement - pour s'octroyer des privilèges supplémentaires sur un ordinateur.

Beaucoup de bugs dans la version X du Reader

Selon l'avis publié par Adobe, environ la moitié des bugs identifiés dans le Reader X concernent le code d'analyse de fichier pour les polices de caractères, l'image ou la 3D. Tous les bugs, sauf 3, affectent le Reader X, cette version Windows du lecteur lancée en grande pompe par l'éditeur il y a trois mois. Elle comprend la fameuse SandBox, cette technologie qui permet d'isoler l'application de l'ordinateur pour arrêter, ou du moins emprisonner un code d'attaque pour l'empêcher de faire des ravages sur l'ensemble du système d'exploitation. La sandbox intégrée dans le Reader X est basée sur des technologies utilisées par Google et Microsoft : ainsi Google a « sandboxé » son navigateur Chrome, tandis que Microsoft utilise des défenses similaires pour protéger Internet Explorer et Office 2010 dans Windows. Il y a quelques semaines un chercheur avait trouvé une faille dans ce « mode protégé ». Un porte-parole de l'éditeur se veut rassurant « aucun des 26 bugs affectant le Reader X ne concernent la sandbox et ne peuvent donc pas être mis à profit pour contourner la protection. » Le Reader passe en versions 8.2.6, 9.4.2, et 10.0.1 pour Windows et Mac OS X.  Les utilisateurs Linux devront quant à eux attendre jusqu'au 28 février, date à laquelle Adobe livrera les correctifs pour le Reader tournant sous ce système d'exploitation.

Flash mais aussi ColdFusion et Shockwave

Le Tuesday Patch publié met également mis à jour le plug-in Flash, corrigeant 13 vulnérabilités, toutes qualifiées de critiques, car susceptibles d'être exploitées pour exécuter du code malveillant. Adobe a précisé que 8 des 13 failles étaient liées à des problèmes de corruption de mémoire, tandis que les autres bugs été liées au chargement de bibliothèque, à un dépassement de nombre entier et à l'analyse de fonte. La mise à jour de sécurité fait passer Flash en version 10.2.152.26. Comme cela a été le cas il y a un an environ, les utilisateurs de Google Chrome ont pu profiter de la nouvelle version de Flash via une mise à jour du navigateur, également publiée mardi. Adobe a également livré des mises à jour de sécurité pour ColdFusion, son serveur d'applications web de classe entreprise, et pour Shockwave, un player assez répandu pour lire des contenus online animés. « On aurait dit qu'Adobe était prête pour ce cycle de patch ! » a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security, dans une interview. « J'ai été surpris par cette coordination. » Selon Adobe, « cette coordination est sans doute exceptionnelle, parce que le Reader et son cousin Acrobat sont patchés régulièrement. » Reste que, comme le dit Wiebke Lips, la porte-parole d'Adobe, « chaque fois que possible, l'éditeur tente de prévoir, en même temps que le Tuesday Patch, la livraison de mises à jour de sécurité pour d'autres produits. » Cette fois, le calendrier a inclus Flash Player, ColdFusion et le player Shockwave.

Du tout ou rien

Cependant, si Andrew Storm se félicité de la mise à jour simultanée de plusieurs produits d'Adobe, il souligne que l'éditeur continue à livrer des mises à jour de sécurité « tout-ou-rien, » contrairement à Microsoft qui répartit ses correctifs en plusieurs avis séparés, laissant le choix aux utilisateurs de les déployer ou non, selon leur configuration. « C'est du genre à prendre ou à laisser, ça manque de nuances, » estime Andrew Storm. « Pratiquement tout est du code à distance et nous n'avons aucune possibilité d'en avoir un aperçu pour faire un choix, si cela s'avérait nécessaire, pour une raison ou une autre. » À cet égard, les mises à jour de sécurité d'Adobe ressemblent plus à celles d'Apple qu'à celles de Microsoft. « La seule différence, c'est que, avec Adobe, nous savons à quel moment le déjeuner sera servi, » a déclaré le directeur des opérations, évoquant la planification des mises à jour faite par Adobe, contrairement à Apple.

Adobe Reader et Flash pour Windows et Mac OS X peuvent être téléchargés via les liens inclus dans les avis publiés mardi. Mais, comme toujours, les utilisateurs peuvent récupérer les nouvelles versions via les mécanismes de mise à jour intégrés.