En septembre, Adobe avait promis d'accélérer son calendrier pour livrer les correctifs, préalablement prévus pour la semaine prochaine, réparant les failles concernées, car les pirates exploitaient déjà un bogue trouvé dans le processus de traitement des polices par Reader et Acrobat. Pour Andrew Storms, directeur des opérations de sécurité chez nCircle Security, "c'est un double coup dur aujourd'hui pour les clients d'Adobe." Ajoutant que "les produits Adobe continuent à figurer en tête de liste des cibles visées par les auteurs de malwares." Il fait aussi remarquer que "Adobe avait déjà corrigé une faille zero-day dans Flash fin septembre, et qu'aujourd'hui, l'éditeur doit sortir sa mise à jour trimestrielle d'Acrobat, en avance sur son calendrier, pour réparer une autre faille zero-day." Les mises à jour de Reader et d'Acrobat, disponibles depuis mardi - elles font passer Reader et Acrobat respectivement en version 9.4 et 8.2.5 - incluent également le patch livré il y a deux semaines corrigeant le lecteur Flash, puisque ces deux applications prennent en charge l'exécution de code Flash intégré dans les documents PDF.

Attention à "Leadbetter"

Sur les 23 bogues corrigés par Adobe, le plus remarquable est sans doute celui révélé le 7 septembre par Mila Parkour, chercheur en sécurité indépendant, qui a repéré l'attaque après avoir découvert que des fichiers PDF joints à des e-mails, et concernant l'entraîneur de golf de réputation internationale David Leadbetter, étaient truqués. Plusieurs chercheurs en sécurité ont qualifié la méthode utilisée par "Leadbetter" "d'effrayante", "d'intelligente" et "d'impressionnante", notamment dans sa manière de contourner les importantes parades de défense - ASLR (address space layout randomization) et DEP (Data Execution Prevention) - intégrées par Microsoft à Windows. La plupart des attaques utilisant "Leadbetter" étaient "ciblées," c'est à dire visant certaines personnes ou certaines entreprises, à la différence d'une attaque massive. Autre indice prouvant la sophistication du procédé, l'attaque s'appuyait sur un certificat numérique volé, utilisé pour signer certains fichiers. Chet Wisniewski, conseiller en sécurité auprès de Sophos, l'éditeur spécialisé en sécurité informatique, a comparé "Leadbetter" au ver Stuxnet, lequel a également utilisé des certificats volés. Le chercheur fait remarquer que le certificat exploité par "Leadbetter" apparaissait dans un composant du virus en 2009, signe que le code d'attaque, ou en tout cas une partie, avait circulé depuis.

Des failles de sécurité critiques

20 des 23 vulnérabilités patchées aujourd'hui, soit 87% d'entre elles, sont accompagnées du commentaire "pourrait conduire à l'exécution de code" dans l'avis de sécurité d'Adobe. Contrairement à certains éditeurs, Microsoft notamment, Adobe ne fait pas de classement de ses bogues, mais  le terme "exécution de code" signifie que les failles pourraient être exploitées par les attaquants pour détourner l'ordinateur visé, soit l'équivalent à l'échelle  "critique" que Microsoft attribue aux vulnérabilités qui permettent l'exécution de code. Deux des 23 autres bugs pouvaient être utilisés pour rendre Reader ou Acrobat instables, tandis que la dernière vulnérabilité relève d'un problème lié exclusivement à Linux pouvant permettre à un pirate de contrôler l'accès à des niveaux plus élevés de la machine. Neuf des 23 bugs ont été signalés à Adobe par des ingénieurs en sécurité travaillant pour Google, dont Tavis Ormandy, crédité pour huit d'entre eux, tandis que trois autres sont remontés du programme Zero Day Initiative de TippingPoint maintenu par HP.

Aujourd'hui encore, Adobe a publié une série de messages techniques à propos de la technologie "sandbox" (bac à sable ou sas) que l'éditeur a l'intention d'ajouter à la version Windows de son Reader cette année. Appelée "Mode protégé" par Adobe, la technologie est conçue pour isoler les processus entre eux et le reste de la machine, de manière à empêcher les malware de sortir de l'application infectée pour aller faire des ravages ou infecter l'ordinateur. Microsoft utilise une technologie similaire dans ses navigateurs Internet Explorer 7 (IE7), IE8 IE9 sur Windows Vista et Windows 7. Google s'appuie également sur le sandboxing pour contrecarrer les attaques dirigées contre ou via le navigateur Chrome.

En démonstration à la MAX 2010

Adobe a annoncé qu'elle ferait la démonstration de ce mode protégé au cours de l'Adobe MAX 2010, programmée du 23 au 27 octobre à Los Angeles. Mais une porte-parole a prévenu que le programme de l'édition MAX 2010 avait été établi depuis un certain temps, et qu'il fallait rester prudent quant à d'éventuelles annonces. Elle a notamment refusé de donner une quelconque date d'apparition de son bac à sable dans Reader. "La fonction sandbox promise par Adobe ne peut pas arriver à l'avance," a déclaré Andrew Storm. "Nous espérons que l'éditeur, mis à mal par les pirates, dispose dans sa manche de davantage d'initiatives en matière de sécurité."

Adobe Reader et Acrobat pour Windows, Mac et Linux peuvent être téléchargés en utilisant les liens inclus dans l'avis publié mardi. Mais les utilisateurs ont toujours l'option de mettre en route les mécanismes de mise à jour intégrés pour accéder aux nouvelles versions et les installer.