Adobe diffère son correctif pour Acrobat et s'en explique

Adobe a décidé d'attendre la mi-Janvier pour diffuser son patch corrigeant le bug critique découvert sur ses logiciels Acrobat et Reader pour ne pas perturber son planning trimestriel de mise à jour de sécurité. Brad Arkin, directeur de la sécurité et de la confidentialité des produits chez Adobe, a expliqué que : «Nous avions deux options, soit réaliser une mise à jour spécifique pour corriger d'urgence cette vulnérabilité, soit essayez d'inclure le patch dans le correctif de janvier. Mobiliser nos ingénieurs pendant deux à trois semaines pour réaliser ce patch nous aurait obligé à retarder la mise à jour programmée au mois de février, voire plus tard. En travaillant d'arrache pied, nous avons estimé que nous pourrions réaliser le correctif pour l'inclure dans la mise à jour prévue en janvier." Pour prendre sa décision, Adobe a également consulté ses clients. Il est ressorti que "deux mises à jour auraient été beaucoup plus coûteuses pour les entreprises," a déclaré Brad Arkin. Le calendrier a également joué dans la décision d'Adobe de retarder le patch. En effet, à cause des vacances de fin d'année, les entreprises craignaient de ne pouvoir tester et installer le correctif avant le retour des salariés le 4 janvier.

Une parade possible en verrouillant les API vulnérables

Adobe maintient ses conseils aux utilisateurs pour contourner la faille et se protéger d'une éventuelle attaque jusqu'au 12 janvier. Selon l'éditeur, les versions actuelles contiennent une parade possible depuis qu'il a inclus un JavaScript Blacklist Framework pour ses logiciels Reader et Acrobat au sein son correctif de sécurité d'octobre. Cette nouvelle fonctionnalité permet aux utilisateurs et aux administrateurs réseaux de verrouiller certaines fonctions JavaScript spécifiques ou des API (interfaces de programmation) pour protéger les ordinateurs contre des attaques connues sans désactiver toutes les fonctionnalités JavaScript. « C'est la première fois que nous utilisons le JavaScript Blacklist Framework comme parade », a déclaré Brad Arkin. Des tests internes ont confirmé que le verrouillage d'API vulnérables protégeait les utilisateurs d'intrusions sauvages. Selon certains experts, la faille découverte lundi dernier par Adobe a été exploitée par les criminels depuis le 20 novembre.