Vulnérabilité
critique non corrigée dans Adobe Reader et Acrobat (15/12/09)
MAJ 13/01/10 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans Adobe Reader, un utilitaire gratuit qui permet
de lire les documents au format PDF. L'exploitation d'une erreur
non spécifiée peut permettre à un individu
malveillant ou à un virus d'exécuter à distance
du code malicieux sur l'ordinateur de sa victime à l'ouverture
d'un document PDF piégé.
LOGICIELS CONCERNES :
Adobe Reader 9.2 et versions inférieures
Adobe Acrobat 9.2 et versions inférieures
RISQUE :
Critique
CORRECTIF :
Aucun correctif
n'est disponible pour le moment, cette faille ayant été
identifiée alors qu'elle était déjà
exploitée de façon malveillante (0-day). En attendant
la publication d'un correctif officiel, les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- désactiver
la prise en charge de Acrobat Javascript par le logiciel (dans
la barre de menu cliquer Edition > Préférences...
> Javascript, puis décocher la case Activer Acrobat
Javascript) :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- tenir à
jour son antivirus. Les
éditeurs ont déjà ou vont bientôt publier
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant cette faille ;
- désinstaller
Adobe Reader et éventuellement utiliser un autre logiciel
pour lire les fichiers PDF (Foxit,
CutePDF
ou liste de lecteurs libres sur Pdfreaders.org).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS COMPLEMENTAIRES :
-> Adobe
Security Advisory APSA09-07 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|