Adobe alerte les utilisateurs d'une faille qui affecte Reader X (10.1.1) et les versions antérieures pour Windows et Mac, Reader 9.4.6 et versions antérieures 9.x pour Unix, ainsi que Acrobat X (10.1.1) et les versions antérieures pour Windows et Mac. La vulnérabilité liée à une corruption de mémoire est identifiée sous la référence CVE-2011-2462. Elle s'attaque au traitement des données au format U3D que l'on peut intégrer dans un fichier PDF. La faille peut conduire à l'exécution de code malveillant et elle est considérée comme critique. Le CIRT (Centre de réponse d'incident) de Lockheed Martin et la Defense Security Information Exchange ont découvert le problème et l'ont signalé à Adobe, en soulignant le risque d'utilisation par des pirates pour récupérer des informations sensibles.

Un premier correctif prévu la semaine prochaine

L'éditeur considère comme prioritaire la mise en place d'un correctif pour Adobe Reader 9.x, car la faille a déjà été exploitée. « Nous sommes en train de finaliser un correctif pour le problème et nous espérons publier une mise à jour pour Reader et Acrobat 9.x pour Windows, au plus tard la semaine prochaine » a indiqué Adobe. Les versions X des deux logiciels pour Windows seront corrigées lors de la mise à jour trimestrielle, qui est prévue pour le 10 janvier 2012. La faille découverte ne représente pas une menace immédiate, car Reader et Acrobat X  bénéficient d'une fonctionnalité de bac à sable qui rend plus difficile l'exécution de code malveillant. Concernant les versions Unix et Mac, elles ne disposent pas de fonction de sandbox, mais, selon Adobe, le risque pour les utilisateurs sur ces plateformes est nettement inférieur. C'est pourquoi l'entreprise appliquera les correctifs en janvier prochain.