Le bug le plus notable réparé dans la version 9.4.1 d'Adobe Reader pour Windows et Mac OS X concerne le composant « authplay » qui permet de lire les contenus Flash intégrés dans les fichiers PDF. C'est lui qui a été exploité pour mener avec succès des attaques utilisant des fichiers PDF infectés. Celles-ci ont permis aux attaquants de déposer un cheval de Troie et d'autres logiciels malveillants sur les PC sous Windows de leurs victimes. Ce n'est pas la première fois que l'« authplay » est pris pour cible par les logiciels malveillants cette année, la plus récente attaque datant de juin dernier. Dans la semaine qui avait suivi, Adobe avait expédié un correctif d'urgence pour son Player Flash, et un patch pour Acrobat Reader deux semaines plus tard.

Cette-fois ci, Adobe a réitéré son opération selon un calendrier similaire, corrigeant d'abord son Player Flash le 4 novembre, et maintenant son Reader et Acrobat. Cette méthode à deux niveaux est critiquée par certains qui font remarquer que les exploits sur « authplay » visent généralement Reader et non Flash. Adobe s'est défendu en expliquant que le correctif avait été conçu par son équipe de développement Flash, laquelle transmet ensuite la version corrigée de l'« authoplay.dll » à l'équipe de Reader qui se charge du test et de son intégration dans leurs produits.

L'autre vulnérabilité corrigée avait été rendue publique par la liste de diffusion sur la sécurité Full Disclosure ce mois-ci. À l'époque, Adobe avait déclaré que la faille pourrait être utilisée pour faire planter le Reader, mais pas Acrobat. L'éditeur avait également affirmé qu'il n'était pas certain qu'un ordinateur exécutant son logiciel PDF puisse être affecté par cette faille. Adobe a confirmé cette analyse dans l'avis accompagnant les mises à jour, indiquant que « celles-ci réparent une vulnérabilité de la mémoire qui pourrait conduire à une exécution de code. »

Pas de remise en cause du calendrier des mises  à jour

Le calendrier trimestriel prévu par Adobe pour livrer ses correctifs pour Reader et Acrobat est une fois encore bouleversé par l'obligation de publier des patchs d'urgence afin de réparer des bugs critiques dans ses logiciels PDF. Mais Adobe a rappelé aux utilisateurs que la prochaine mise à jour programmée du Reader aurait bien lieu comme prévu le 8 février 2011.

Seules les versions Windows et Mac de Reader et Acrobat ont été corrigées aujourd'hui. La mise à jour du Reader pour Linux/Unix ne sera pas disponible avant le 30 novembre prochain. Adobe a également reporté un patch pour l'ancienne version 8.x, vulnérable au second bogue. « L'éditeur prévoit de corriger Reader 8.x dans la prochaine mise à jour, » indique le communiqué. Aucun des bugs n'a affecté la version du Reader pour Android livrée au mois d'août. La dernière mise à jour du logiciel date du 5 octobre dernier, laquelle corrigeait 23 vulnérabilités du lecteur PDF d'Adobe.

Reader et Acrobat pour Windows et Mac OS X peuvent être téléchargés en utilisant les liens inclus dans l'avis de sécurité d'Adobe. Les utilisateurs peuvent aussi utiliser les mécanismes de mise à jour intégrés de chaque programme pour récupérer les dernières versions.