Adobe vient de publier une rustine pour Reader et Acrobat afin de corriger une vulnérabilité affectant ces applications lorsqu'elles fonctionnent sur Windows XP. Les patches sont inclus dans les mises à jour de ces deux logiciels, qui passent du même coup en version 8.1.1. « Des vulnérabilités critiques ont été découvertes dans Adobe Reader et Acrobat, qui pourraient permettre la prise de contrôle du système », explique l'éditeur. La faille avait été découverte le mois dernier par Petko Petkov, un chercheur britannique. Il expliquait alors qu'il suffisait à l'utilisateur d'ouvrir un fichier PDF corrompu pour mettre en péril son système. Adobe avait reconnu l'existence de la vulnérabilité quelques jours plus tard. En réalité, seuls les ordinateurs équipés de Windows XP et Server 2003, et sur lesquels Internet Explorer 7 est installé, courent le risque d'être pris pour cible. Avant Adobe, plusieurs éditeurs avaient, à leur tour, dû publier des correctifs pour protéger les utilisateurs de leurs applications. Toutes les failles en question ont en commun une vulnérabilité de Windows - reconnue par Microsoft mais pas encore corrigée - relative aux URI (Uniform Resource Identifiers). Une URI corrompue - contenant le caractère % - se trouve refusée par IE7 ; la fonction ShellExecute() tente alors de la modifier : c'est là que l'exécution de code à distance peut subvenir. Le problème n'est susceptible de se produire qu'avec Windows XP et Server 2003, l'URI corrompue étant rejetée sous Vista. Microsoft n'entend pas endosser l'entière responsabilité du problème et compte sur les éditeurs tiers pour qu'ils y prennent leur part. « Si notre mise à jour aidera à protéger toutes les applications contre les URI mal formées, les éditeurs d'applications reposant sur les URI peuvent établir eux-mêmes des processus de validation plus stricts pour empêcher les URI malicieuses d'arriver jusqu'à ShellExecute() », indiquait ainsi le groupe de Redmond il y a deux semaines. En savoir plus Télécharger les mises à jour d'Adobe