Adobe a livré mardi une mise à jour d'Adobe Reader et Acrobat. Cette mise à jour était attendue depuis le tout début du mois de juin après que la firme de San José eût publié un avis de sécurité pour mettre en garde sur la présence d'une vulnérabilité affectant également Flash Player. Pour Flash Player, cette vulnérabilité est devenue de l'histoire ancienne via notamment Flash Player 10.1.
Activement exploitée depuis au moins le début du mois, cette vulnérabilité partagée était présente dans le composant authplay.dll fourni avec Adobe Reader et Acrobat 9.x, et via lequel il est possible d'exécuter du contenu SWF dans des fichiers PDF. Le risque encouru était un simple plantage ou la prise de contrôle par un attaquant du système affecté.
Cette vulnérabilité a été comblée dans Adobe Reader / Acrobat 9.3.3 ( ou 8.2.3 ) pour toutes les plateformes supportées. Au-delà c'est un total de 17 vulnérabilités qui ont été corrigées, et il est à noter que les corrections apportées par Adobe auraient pu prendre encore plus de temps avant de parvenir à l'utilisateur final.
Avec raison, compte tenu d'attaques en cours, Adobe a décidé d'anticiper sur la sortie de ses mises à jour trimestrielles. La fournée initialement prévue pour le 13 juillet a donc été avancée. La prochaine mise à jour trimestrielle aura quant à elle lieu le 12 octobre 2010. Il se passera toutefois bien quelque chose le 13 juillet puisqu'à partir de cette date, Adobe proposera les dernières mises à jour disponibles depuis son centre de téléchargement. Pour l'heure, depuis ce centre de téléchargement, l'utilisateur a accès à l'installeur d'Adobe Reader 9.3, et ce n'est qu'après installation et vérification que les dernières mises à jour sont détectées et proposées.
On pourra rapatrier la mise à jour 9.3.3 d'Adobe Reader depuis ces adresses :