Adobe a semble-t-il décidé de jouer la montre, ce qui peut être risqué pour l'utilisateur final mais l'éditeur à quelques arguments à faire valoir. En début de semaine, Adobe a confirmé l'existence  d'une vulnérabilité 0-day affectant les dernières versions 9.2 ( et antérieures ) d'Adobe Reader et Acrobat, et pour toutes les plateformes. Par la suite, un avis de sécurité en bonne et due forme a été publié.

L'information a été reprise par divers centres de vigilance et interventions informatiques dont le CERTA ( Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques ) pour la France qui écrit qu'une vulnérabilité non détaillée permet l'exécution de code arbitraire à distance par le biais d'un débordement de mémoire.

Xmco Partners, cabinet de conseil et d'audit en sécurité informatique, précise que la faille est due à une erreur lors de l'utilisation de la méthode JavaScript : Doc.media.newPlayer. L'exploitation s'effectue via un fichier PDF spécialement conçu proposé en pièce jointe d'un e-mail ou au travers d'une iframe sur des sites compromis. Un code exploit a été publié sous la forme d'un plugin pour le Framework Metasploit.

Pour Xmco Partners il y a donc urgence. Pour autant, Adobe ne fera pas exception à son prochain rendez-vous trimestriel de sécurité pour livrer son correctif. En adéquation avec le Patch Tuesday de Microsoft pour permettre aux administrateurs un déploiement plus pratique d'un ensemble de correctifs, celui pour Adobe Reader et Acrobat est attendu le 12 janvier 2010.

Selon Adobe, mettre aujourd'hui un maximum de ressources sur la correction de ladite vulnérabilité pourrait avoir un impact négatif sur la date de livraison de la prochaine fournée trimestrielle de rustines. Par ailleurs, avec la version 9.2 d'Adobe Reader ( et Acrobat ), il est plus simple de désactiver l'accès aux API JavaScript, ce que l'éditeur conseille de faire en tant que mesure de contournement ( depuis les Paramètres ). Pour les utilisateurs Windows, Adobe fournit également un fichier de registre afin de générer des clés pour blacklister l'exacte fonction JavaScript vulnérable.