L'éditeur avait promis de corriger cette vulnérabilité en urgence, en livrant un patch de sécurité hors de son programme trimestriel. C'est désormais chose faite avec la mise à jour qu'elle vient de livrer. La faille avait été découverte par Charlie Miller, chercheur d'Independent Security Evaluators, une entreprise de Baltimore réputée dans la sécurité informatique, alors qu'il faisait la démonstration de la boîte à outils open-source BitBlaze et de son utilité pour augmenter la productivité dans la chasse aux bugs. Celui-ci avait indiqué que la faille concernait la fonction d'analyse des polices dans Reader et Acrobat. Mais il s'est avéré qu'il connaissait ce bug dont Tavis Ormandy, ingénieur en sécurité chez Google, avait déjà fait état.

L'avis publié par Adobe qualifie ce dernier bug et de la seconde vulnérabilité, comme critique, jugeant que chacune "pourrait conduire à l'exécution de code indésirable." Ce qui signifie en clair que des attaquants pourraient les exploiter pour prendre le contrôle d'un ordinateur. Comme à son habitude, l'éditeur a révélé le minimum de détails sur les bogues qu'elle a corrigé, précisant simplement que la seconde faille était capable «de provoquer une attaque d'ingénierie sociale," autrement dit d'utiliser l'erreur humaine pour obtenir des informations confidentielles.

Une des erreurs déjà réparée

Mais Adobe a omis de mentionner qu'elle avait déjà corrigé cette seconde faille dans le passé. D'abord fin juin avec la dernière mise à jour de Reader et Acrobat qui corrigeait le bug portant la référence CVE-2010-1240 et découvert en mars par le chercheur belge Didier Stevens. Ce dernier avait montré comment une attaque en plusieurs étapes utilisant la spécification "/Launch" de Reader pouvait être exploitée. Il avait également montré comment un message d'avertissement dans Reader pouvait être détourné pour piéger les utilisateurs. Les pirates ont employé la technique de Didier Stevens dans des attaques de masse pendant plusieurs mois avant qu'Adobe ne livre sa mise à jour "hors-programme" du 29 juin, devançant le calendrier des updates fixé au 13 juillet.

Ces dernières mises à jour font passer respectivement les deux logiciels en versions 9.3.4 et 8.3.4. Elles incluent également les correctifs pour le player Flash   livrés la semaine dernière (Reader et Acrobat intègrent le code pour exécuter Flash dans les documents PDF). Ces dernières versions pour Windows, Mac et Linux peuvent être téléchargées en utilisant les liens inclus dans l'avis publié par Adobe. Mais il est également possible de passer par le mécanisme de mise à jour de chaque application. Depuis le mois d'avril, l'éditeur a également inclus dans les versions récentes de Reader et d'Acrobat un mécanisme de mise à jour automatique, mais il doit être activé manuellement par les utilisateurs.

 

 

Crédit Photo: D.R