Le chercheur britannique spécialiste de la sécurité qui s'est illustré la semaine dernière en dévoilant deux failles critiques dans Windows Media Player et Quick Time, met en lumière une vulnérabilité touchant les fichiers PDF lorsqu'ils sont lus sur une machine équipée de Windows XP. Selon Petko Petkov, l'auteur de la découverte, « ces documents peuvent être utilisés pour compromettre Windows (...) de façon totalement invisible. Tout ce que cela requiert est l'ouverture d'un fichier PDF ou le surf sur une page Web en hébergeant un ». Si le spécialiste de la sécurité avait publié des preuves de faisabilité (proof of concept, POC) pour les deux dernières failles qu'il avait mises en lumière, il n'a pas entendu le faire pour la vulnérabilité des PDF, estimant que cela présenterait un trop grand danger au regard de l'omniprésence de ce type de documents dans la sphère professionnelle. « En ajoutant à cela que la résolution de la faille pourrait prendre un moment à Adobe, ce sont les raisons pour lesquelles je ne livrerai pas de POC. » En dépit de l'absence de preuve, Symantec prend les avertissements de Petko Petkov au sérieux. « Bien que ces assertions sont invérifiables, ce chercheur a déjà identifié plusieurs vulnérabilités dans le passé et ses assertions sont crédibles », explique l'éditeur dans une alerte. Le découvreur de la faille conseille « de n'ouvrir aucun document PDF, en local ou en ligne ». Le risque est en effet d'autant plus grand qu'il touche la dernière version d'Acrobat Reader (8.1) et peut être exploité sur les PC tournant avec Windows XP SP2. Adobe, de son côté, reconnaît être en contact avec Petkov et indique que ses chercheurs travaillent à identifier la faille.