Vulnérabilité critique non corrigée dans Adobe Reader et Acrobat (07/12/11)
MAJ 10/01/12 : un correctif
officiel est désormais
disponible
pour les autres versions
MAJ 17/12/11 : un correctif
officiel est désormais disponible
pour Adobe Reader et Acrobat 9.x pour Windows
RESUME :
Un nouveau défaut de sécurité a
été identifié dans Adobe Reader, un utilitaire
gratuit qui permet de lire les documents PDF (Portable Document
Format). Son exploitation peut permettre à un individu
malveillant ou à un virus d'exécuter à distance
du code malicieux sur l'ordinateur de sa victime à l'ouverture
d'un document PDF piégé.
LOGICIELS CONCERNES :
Adobe Reader X (10.1.1) et versions inférieures
Adobe Reader 9.4.6 et versions inférieures
Adobe Acrobat X (10.1.1) et versions inférieures
Adobe Acrobat 9.4.6 et versions inférieures
RISQUE :
Critique
CORRECTIF :
Aucun
correctif n'est disponible pour le moment car ce défaut de
sécurité a été découvert alors
qu'il était déjà exploité de façon
malveillante (0-day), via des attaques ciblant les versions Adobe Reader 9.x sous Windows.
En attendant la publication d'un correctif officiel, les utilisateurs concernés peuvent
appliquer les mesures suivantes afin de réduire les risques
d'exploitation malveillante :
- vérifier que le mode protégé d'Adobe Reader X est activé (dans
la barre de menu cliquer Edition > Préférences...
> Protection (renforcée) > cocher Activer la protection renforcée)
OU installer cette version X pour ceux qui ne l'auraient pas encore fait. Le mode protégé d'Adobe Reader X empêche l'exécution des codes malicieux actuellement connus ;
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- tenir à
jour son antivirus. Les
éditeurs ont déjà ou vont bientôt publier
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant cette faille.
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication. L'éditeur prévoit
de publier un correctif pour les versions X le 10/01/12.
INFORMATIONS COMPLEMENTAIRES :
-> Adobe
Security Advisory APSB11-30 (en anglais)
-> Adobe
Security Advisory APSA11-04 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|