En début de semaine, Adobe a livré de nouvelles versions de Reader 10.x et 9.x, pour pallier à quatre vulnérabilités susceptibles de permettre l'exécution de code arbitraire. L'éditeur a aussi effectué plusieurs modifications relatives à la sécurité de son outil. Il a notamment supprimé le composant Flash Player de ses versions 9.x. « Toutes les vulnérabilités corrigées dans les versions 10.1.3 et 9.5.1 de Reader pouvaient être exploitées par un attaquant pour faire planter l'application et prendre potentiellement le contrôle du système infecté, » a déclaré  l'éditeur dans son bulletin de sécurité APSB12-08. Les utilisateurs sont invités à installer ces mises à jour dès que possible. Adobe a également annoncé que Reader 9.5.1 ne comportait plus la bibliothèque authplay.dll, présente dans les versions précédentes, qui permettait de restituer du contenu Flash intégré dans des documents PDF. Une aubaine pour les hackers

Dans le passé, ce composant a été la source de plusieurs problèmes de sécurité, en partie à cause d'un calendrier de mise à jour inconsistant de Reader et de Flash Player. La bibliothèque authplay.dll contient une bonne partie du code du lecteur Flash autonome, ce qui signifie aussi qu'elle partage avec lui la plupart des vulnérabilités. Cependant, alors que le Player Flash est patché par Adobe au coup par coup, Reader suit un cycle de mise à jour trimestrielle plus stricte. D'où des situations incohérentes où certaines vulnérabilités connues sont patchées dans le Player Flash, mais restent exploitables via l'authplay.dll contenu dans le Reader pendant des mois, en attente de la mise à jour programmée.

C'est encore ce qui se passe avec la version 10.1.3 du Reader, qui intègre trois anciennes mises à jour de sécurité du Player Flash livrées séparément au cours des trois derniers mois. À partir de la version 9.5.1 de Reader, le Reader 9.x passera par le plug-in autonome du lecteur Flash déjà installé sur les ordinateurs pour les besoins des navigateurs Firefox de Mozilla, Safari ou Opera, afin de lire des contenus Flash intégrés dans des fichiers PDF. Cette fonctionnalité ne fonctionne pas avec le plug-in du Player Flash pour Internet Explorer basé sur ActiveX basé ni avec le plug-in du Player Flash spécial couplé avec Google Chrome.

Bloquer par défaut la lecture Flash dans les PDF

« Adobe prévoit à l'avenir de supprimer aussi la bibliothèque authplay.dll de la série des Reader 10.x et travaille actuellement sur les API qui rendront cela possible, » a déclaré David Lenoe, responsable de l'équipe Product Security Incident Response Team (PSIRT) d'Adobe, dans un blog. Secunia, le vendeur de solutions de gestion des vulnérabilités, se félicite qu'Adobe ait pris la décision de supprimer l'authplay.dll de son Reader. « Cela va permettre aux utilisateurs de corriger plus facilement les vulnérabilités dans Flash, » a estimé Carsten Eiram, expert en sécurité chez Secunia. « Cependant, il faudrait que dans Adobe Reader, le contenu Flash des fichiers PDF ne soit pas lu par défaut, de façon à obliger les utilisateurs à l'activer spécifiquement si nécessaire, » a aussi déclaré l'expert. « La plupart des utilisateurs n'en ont pas besoin, et le contenu Flash intégré dans des fichiers PDF a été spécialement exploité comme vecteur pour compromettre les systèmes des utilisateurs de Reader. »

« La raison pour laquelle cette bibliothèque a été ajoutée tient à l'approche choisie par Adobe pour rendre du contenu 3D. Mais depuis la version 9.5.1 de Reader, la fonctionnalité a été désactivée par défaut, car elle n'est pas couramment utilisée et peut être exploitée dans certaines circonstances, » a expliqué David Lenoe. « Il n'y a pas eu une seule attaque ciblant cette partie de la fonctionnalité et pourtant c'est celle qui semble la plus vulnérable, » a déclaré Carsten Eiram. « Cela fait longtemps aussi que nous recommandons aux utilisateurs de désactiver les plug-ins utilisés pour le rendu 3D,» a t-il ajouté.

Un nouveau cycle de mise à jour

À part ces correctifs de sécurité et ces changements, Adobe a également décidé de mettre fin à son cycle de mise à jour trimestriel pour Reader et Acrobat, et revenir à sa politique précédente de livraison de correctifs. Les futures mises à jour du Reader continueront à être livrées le deuxième mardi du mois, mais celles-ci ne seront plus programmées tous les quatre mois. « Nous publierons des mises à jour pour Adobe Reader et Acrobat, selon les nécessités, tout au long de l'année, de façon à mieux répondre à l'attente des utilisateurs et à mieux assurer leur sécurité, » a déclaré David Lenoe. « Le cycle de mise à jour trimestriel n'a jamais fonctionné pour Adobe, » a ajouté Carsten Eiram. « Les correctifs impliquant des vulnérabilités qui mettent la sécurité en jeu doivent toujours être livrés le rapidement possible. Rien ne justifie de reporter un correctif de vulnérabilité pour de simples motifs d'organisation. »