Adobe logo Cette vulnérabilité identifiée par la FrSIRT French Security Incident Response  Team) et confirmée par Adobe, affecte aussi bien Reader, Acrobat Standard et Professional jusqu'aux dernières versions en date, la 7.0.8. Adobe prévient ses utilisateurs qu'un correctif est en cours de développement.

L'attaque la plus probable serait une exploitation à distance via un PDF malveillant, récupéré à partir d'un site internet ou en pièce jointe d'un email qui compromettrait le système de l'utilisateur.


Utilisateurs sous IE principalement menacés
Le composant affichant les documents PDF par le biais du navigateur Internet Explorer, est à l'origine du problème. Il s'agit plus précisément du contrôle ActiveX AcroPDF ne gérant pas correctement plusieurs méthodes et présentant  donc une faille exploitable. L'affichage de document PDF via d'autres navigateurs n'implique en revanche aucun risque.

Adobe travaille sur un correctif intégré dans les futures mises à jour de ses logiciels. En attendant, celui-ci recommande de supprimer le fichier suivant dans le répertoire de Reader : AcroPDF.dll. Toutefois, avec cette solution radicale, les utilisateurs du navigateur de Microsoft ne pourront désormais plus bénéficier de l'affichage de PDF via Internet Explorer. Ceux-ci devront télécharger le PDF avant de le visualiser. Reste évidemment la solution d'utiliser un autre navigateur !