Adobe se prépare à corriger la faille PDF

Adobe a publié un bulletin de sécurité annonçant la prochaine mise à jour pour Adobe Reader 9.3.3 pour Windows, Mac OS X et UNIX, et Adobe Acrobat pour Windows et Mac, ainsi que Reader et Acrobat version 8.2.3 pour les mêmes plates-formes afin de résoudre un certain nombre de problèmes de sécurité. Adobe a noté "que ces mises à jour représentent une version hors bande. Adobe est actuellement prévu pour publier la prochaine mise à jour de sécurité trimestrielle pour Adobe Reader et Acrobat le 12 octobre 2010."

Microsoft a également publié un hors-bande correctif pour la vulnérabilité de raccourci Windows - seulement une semaine avant les mises à jour de Patch Tuesday prévues. Le retour rapide d'Adobe de la découverte de vulnérabilités aux correctifs est louable, mais la multiplication des exploits zero-day obligeant Adobe et Microsoft à fournir fréquemment des mises à jour en dehors du cycle de mise à jour des correctifs menace les avantages d'un système de mise à jour..

[Plus d'informations: Comment faire pour supprimer les logiciels malveillants de votre PC Windows]

Le problème abordé par Adobe est une vulnérabilité dans Adobe Reader qui a été dévoilée à Black Hat par le chercheur en sécurité Charlie Miller. Miller s'est fait un nom en remportant à plusieurs reprises le concours Pwn2Own lors de la conférence sur la sécurité de CanSec West.

Un avis de Secunia sur la faille Adobe explique: «La vulnérabilité est due à une erreur de débordement d'entier dans CoolType.dll. Valeur de champ "maxCompositePoints" dans la table "maxp" (Maximum Profile) d'une police TrueType, ce qui pourrait être exploité pour corrompre la mémoire via un fichier PDF contenant une police TrueType spécialement conçue. "

Résumer en anglais et les utilisateurs qui ne sont pas des développeurs peuvent comprendre, Secunia ajoute "Une exploitation réussie peut permettre l'exécution de code arbitraire." Bottom line: un attaquant pourrait exploiter la faille Adobe Reader pour prendre le contrôle d'un système vulnérable et installer ou exécuter d'autres logiciels malveillants.

Fait intéressant, c'est une faille dans le rendu des polices dans les documents PDF qui permet le site Web JailbreakMe pour contourner les défenses de l'iPhone et modifier les fonctionnalités de base du système d'exploitation du smartphone. Cependant, selon Miller, les défauts ne sont pas liés les uns aux autres. Heureusement, Apple met à jour iOS pour résoudre ce problème.

Les administrateurs informatiques soucieux d'être exposés à une vulnérabilité potentielle en attendant la mise à jour d'Adobe peuvent toujours se tourner vers d'autres lecteurs PDF tels que FoxIt Reader et Nuance PDF Reader.