Vulnérabilité
critique non corrigée dans Adobe Reader et Acrobat (09/10/09)
MAJ 13/05/09 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans Adobe Reader, un utilitaire gratuit qui permet
de lire les documents au format PDF. L'exploitation d'une erreur
non spécifiée peut permettre à un individu
malveillant ou à un virus d'exécuter à distance
du code malicieux sur l'ordinateur de sa victime à l'ouverture
d'un document PDF piégé.
LOGICIELS CONCERNES :
Adobe Reader 9.x
Adobe Reader 8.x
Adobe Reader 7.x
Adobe Acrobat 9.x
Adobe Acrobat 8.x
Adobe Acrobat 7.x
RISQUE :
Critique
CORRECTIF :
Aucun correctif
n'est disponible pour le moment, cette faille ayant été
identifiée alors qu'elle était déjà
exploitée de façon malveillante (0-day). En attendant
la publication d'un correctif officiel, les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- désactiver
la prise en charge de Acrobat Javascript par le logiciel (dans
la barre de menu cliquer Edition > Préférences...
> Javascript, puis décocher la case Activer Acrobat
Javascript) :
Cette précaution n'assure cependant pas une protection
complète car une variante de l'exploit initial ne nécessite
pas Javascript pour fonctionner, permettant au code malicieux
de s'exécuter malgré tout ;
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- tenir à
jour son antivirus. Les
éditeurs ont déjà ou vont bientôt publier
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant cette faille ;
- désinstaller
Adobe Reader et éventuellement utiliser un autre logiciel
pour lire les fichiers PDF (Foxit,
CutePDF
ou liste de lecteurs libres sur Pdfreaders.org).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication. L'éditeur prévoit
de publier un correctif le 13 octobre prochain afin de combler cette
faille de sécurité.
INFORMATIONS COMPLEMENTAIRES :
-> Adobe
Security Advisory APSB09-15 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|