Mise à jour du 22.03.2011 par Katleen
La vulnérabilité critique découverte dans Adobe Reader mardi dernier vient d'être patchée par Adobe.
L'entreprise avait promis une solution au problème, et elle a tenu parole. Un patch pour Reader et Acrobat est déjà disponible, et un correctif pour la faille zero-day à destination de Flash Player est attendu dans les heures qui viennent.
En effet Flash Player, Reader et Acrobat étaient tous trois concernés, puisque le problème se situait dans la DLL "authplay.dll" qui les concerne tous les trois. Dans Acrobat et Reader, elle sert d'interpréteur et prends en charge les contenus Flash des fichiers PDF.
Si pour l'instant, des exploits n'ont été constatés que par le biais de fichiers Excel infectés, l'éditeur n'exclut pas que les pirates puisse tenter de s'en prendre aux internautes en insérant du code malveillant dans des PDF. C'est pourquoi ils préfèrent voir large avec leur mise à jour de sécurité. On n'est jamais trop prudents.
Les programmes concernés peuvent être mis à jour directement via leur outil intégré d'update, et proposeront dans tous les cas bientôt à leurs utilisateurs d'installer leur nouvelle version.
Quant aux utilisateurs de Chrome, ils n'auront pas forcément besoin de déployer cette mise à jour, car Google vient de mettre son navigateur à jour "avec le patch", indique Adobe.
Attention toutefois, "si l'utilisateur possède Internet Explorer sur lequel Flash Player est installé, en plus de Google Chrome avec un Flash Player intégré, sur un système Windows, alors il faudra mettre à jour Flash Player pour IE au plus vite", ajoute l'éditeur.
Enfin, la "sandbox" d'Adobe X et de Reader X bloque l'attaque.
Téléchargez le patch publié par Adobe Flash Player et Acrobat Reader : vulnérabilité critique zero-day confirmée
Des pirates l'auraient déjà exploitée
Adobe tire la sonnette d'alarme. Une faille critique non corrigée dans son lecteur Flash Player serait déjà exploitée par des pirates.
Selon un avis de sécurité qui vient d'être publié par l'éditeur, la vulnérabilité pourrait être exploitée par des pirates distants pour provoquer un crash de l'application ou, plus préoccupant, pour prendre le contrôle du système affecté en intégrant des fichiers Flash infectés dans un document Microsoft Excel envoyé en pièce jointe.
La vulnérabilité aurait déjà été utilisée pour des attaques ciblées. La vulnérabilité touche également le lecteur Adobe Acrobat X (10.0.1). Cependant la firme admet n'avoir encore été informée d'aucune attaque sur ce logiciel.
Adobe fait savoir qu'il travaille activement sur la mise au point de correctifs de sécurité qui seront publiés la semaine du 21 mars pour Flash Player 10.x (et antérieures) ainsi que pour Abode Acrobat X sur les systèmes d'exploitation Windows, Macintosh, Linux, Solaris et Android.
En revanche, aucune mise à jour n'est prévue pour la dernière version du lecteur PDF qui embarque un bac à sable (Sandbox), une technologie de sécurisation qui selon Adobe empêcherait toute exécution d'un exploit reposant sur cette faille.
Source : Avis de sécurité d'Adobe
