Adobe vient d'annoncer qu'il publierait un correctif d'urgence la semaine du 16 août, pour rectifier une faille critique dans ses logiciels Reader et Acrobat. Le problème avait été découvert par le chercheur Charlie Miller lors de la conférence Black Hat sur la sécurité qui s'est tenue le mois dernier, alors qu'il montrait comment utiliser la boîte à outils Open Source BitBlaze pour rendre la chasse aux bugs 10 fois plus productive.

L'analyste, qui travaille avec l'Independent Security Evaluators de Baltimore, s'est déjà illustré pour avoir identifié des failles dans le Reader PDF d'Adobe. En mars dernier, il avait aussi montré comment un simple outil de fuzzing  pouvait servir à éliminer un grand nombre de bugs potentiels dans Acrobat Reader, mais aussi dans Microsoft Office, l'application Aperçu d'Apple et d'autres logiciels. Selon l'article qu'il a publié après la conférence Black Hat, le bug concerne l'analyse des polices dans Reader et Acrobat. De son côté, l'entreprise danoise Secunia également spécialisée dans la traque aux trous de sécurité, estime que « la faille pourrait être exploitée pour corrompre la mémoire via un fichier PDF contenant une police TrueType infectée ». Elle ajoute que l'exploitation de cette faille pourrait permettre l'exécution de code malveillant.

Charlie Miller précise que si la vulnérabilité affectant les outils PDF d'Adobe ressemble à celle utilisée pour déverrouiller le système d'exploitation mobile iOS d'Apple, ces failles n'ont rien à voir entre elles : «  Toutes deux concernent l'analyse des polices dans les fichiers PDF, mais c'est une coïncidence », a t-il déclaré dans un mail. La vulnérabilité exploitée par le logiciel JailbreakMe concerne l'affichage des fichiers PDF en mode Prévisualisation dans l'iOS d'Apple, pas dans Adobe Reader. Comme Adobe a essayé de l'expliquer hier, « toutes les vulnérabilités affectant les fichiers PDF ne sont pas automatiquement liées à des vulnérabilités du logiciel d'Adobe ». Brad Arkin, en charge de la sécurité et de la confidentialité des produits chez Adobe, a aussi fait remarquer que l'ancien code propriétaire du PDF était devenu un standard libre depuis 2008.

Adobe, qui livrera son correctif en dehors de son calendrier trimestriel, probablement le mardi 17 août, si l'on tient compte de ses habitudes, a laissé entendre que cette mise à jour corrigerait d'autres vulnérabilités que celle découverte par le chercheur. Mais l'éditeur a précisé qu'il tiendrait son calendrier de mises à jour régulières, confirmant la date du 12 octobre pour la prochaine livraison. Ce n'est pas la première fois qu'il sort une mise à jour hors calendrier cette année pour son Reader. La dernière mise à jour d'urgence date de la fin du mois de juin, où il avait livré un correctif deux semaines avant la date prévue du 13 juillet, pour corriger un bug déjà exploité par les pirates. Ce fut également le cas pour un patch livré en février.

Adobe indique que les efforts entrepris pour livrer ce correctif d'urgence n'affecteront pas la sortie de la prochaine mise à jour d'Acrobat Reader. La version 10 du Reader pour Windows prévue pour la fin de l'année est en effet très attendue : elle inclura la technologie sandboxing qui permet d'isoler les documents PDF infectés par des malwares, comme ceux qui pourraient par exemple profiter de la faille découverte par Miller.