Adobe distribue une version vulnérable de Reader

La société de sécurité Secunia a d'abord soupçonné un faux positif renvoyé par son outil de monitoring gratuit Secunia PSI. Plusieurs utilisateurs Windows ont en effet été avertis par cet utilitaire que leur version d'Adobe Reader était vulnérable. Ils ont alors téléchargé la dernière version du lecteur PDF sur le site officiel d'Adobe, mais l'avertissement a perduré dans Secunia PSI. Pour cause, c'est en réalité Adobe qui diffuse une version vulnérable de Reader.

En l'occurrence, il s'agit de la version 9.1 d'Adobe Reader qui est donc officiellement proposée au téléchargement pour Windows mais aussi Mac OS X, alors que pour les distributions Linux le problème ne se pose pas avec une version 9.1.2 à ce jour robuste. Ladite version 9.1 d'Adobe Reader a reçu deux mises à jour, au mois de mai et de juin 2009, afin de combler un total de 14 vulnérabilités de sécurité.

Pour sa défense, un porte-parole d'Adobe a indiqué à InformationWeek que Adobe Reader 9.1 pour Windows est la version la plus récente de l'installateur complet, précisant que Adobe Reader 9.1.1 et 9.1.2 pour Windows sont des correctifs dont l'application nécessite la présence d'Adobe Reader 9.1. " C'est la raison pour laquelle Adobe Reader 9.1 est proposé aux utilisateurs via la page de téléchargement sur Adobe.com. Une fois Adobe Reader 9.1 installé, Adobe Updater proposera l'application des correctifs ".

Cette demande de mise à jour de Adobe Reader intervient immédiatement après l'installation du logiciel, puis tous les sept jours. Secunia ne paraît néanmoins pas convaincu par la méthode, pointant du doigt le fait qu'un utilisateur ne tiendra pas forcément cas de la demande de mise à jour. Une meilleure pratique serait manifestement d'inclure les derniers correctifs directement dans l'installateur.