Le CERTA - Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques - publie un avis de sécurité au sujet d'une vulnérabilité dans Foxit Reader.
Sous Windows, ce logiciel gratuit pour la lecture de fichiers PDF est l'une des alternatives parmi les plus populaires à Adobe Reader ( plus de 130 millions d'utilisateurs selon l'éditeur Foxit ). Notons qu'il existe également des solutions libres référencées par l'initiative PDFreaders.org de la Free Software Foundation Europe.
La faille affecte les versions de Foxit Reader antérieures à 5.4.5. Elle est de type exécution de code arbitraire à distance par un attaquant via des liens spécialement conçus. Si l'avis du CERTA date de lundi, la correction est en réalité effective depuis la semaine dernière.
Le problème avait été rapporté par Secunia le 8 janvier 2013. Le 11 janvier, l'éditeur Foxit a corrigé la vulnérabilité dans le plugin pour Firefox. C'est le 17 janvier qu'une version 5.4.5 de Foxit Reader avec correction de la faille a été mise en ligne.
Foxit indique que les utilisateurs peuvent soit vérifier la disponibilité de mises à jour depuis l'aide de Foxit Reader ou télécharger la mise à jour directement depuis son site Web.
De quoi rappeler qu'une alternative à un logiciel aussi diffusé qu'Adobe Reader et l'une des cibles privilégiées des cybercriminels ne préserve pas de tout risque. Par ailleurs, depuis son mode protégé ( sandbox introduite avec Adobe Reader X ), Adobe Reader offre une bien meilleure protection.
