Cette vulnérabilité pourrait être exploitée à distance via un PDF malveillant, récupéré à partir d'un site internet ou en pièce jointe d'un email qui compromettrait le système de l'utilisateur.
Utilisateurs sous IE principalement menacés
C'est le composant affichant les documents PDF par le biais du navigateur Internet Explorer, qui est à l'origine du problème. Pour être précis, il s'agit du contrôle ActiveX AcroPDF qui ne gère pas correctement plusieurs méthodes et présente donc une faille exploitable. Les autres navigateurs web (Firefox, Opéra,...) ne sont pas concernés, ce qui n'est pas le cas des surcouches utilisant le moteur d'IE.
Adobe vient d'annoncer que le correctif sera disponible la semaine prochaine. En attendant, vous avez deux solutions :
- supprimer le fichier suivant dans le répertoire de Reader : AcroPDF.dll. (ce qui a comme conséquence de supprimer l'affichage de PDF via Internet Explorer)
- mettre à jour Reader et Acrobat avec la huitième version actuellement disponible.
Nouvelle faille découverte
Une nouvelle faille vient d'être annoncée par Adobe pour les mêmes produits, cette dernière affectant aussi bien IE 6 que Firefox.
Il s'agit d'une vulnérabilité (cross-site scripting XSS) qui permet d'injecter un code arbitraire Javascript dans la session de votre navigateur, simplement en exécutant un simple fichier PDF.
Abobe recommande encore une fois de migrer vers les dernières versions 8.0.