Adobe Reader : faille 0-day
Adobe émet une alerte de sécurité au sujet d'une vulnérabilité dans Adobe Reader qui est actuellement exploitée dans des attaques.
La vulnérabilité de sécurité en question a été rapportée à Adobe par Lockheed Martin CIRT et des membres du Defense Security Information Exchange qui effectuent un travail de veille de sécurité pour des groupes militaires. Ce n'est toutefois pas la première fois qu'ils préviennent Adobe d'une faille.
Celle-ci est critique et affecte Adobe Reader X ainsi que Adobe Reader 9.x. Elle est de type 0-day, autrement dit à exploitation immédiate. Le problème si situe au niveau du traitement de données U3D pour l'échange de données 3D. Avec le format PDF, il est possible d'intégrer nativement des scènes U3D dans un document.
Pour le moment, Adobe fait état d'une exploitation active dans le cadre d'attaques limitées et ciblées à l'encontre d'Adobe Reader 9.x sous Windows. Comme presque toujours depuis l'apparition du mode protégé dans Adobe Reader X, cette fonctionnalité de sandbox fait barrage à l'exécution d'un code malveillant.
Adobe prévoit un correctif en urgence pour la semaine prochaine. Il sera à destination d'Adobe Reader 9.x pour Windows. Un patch pour Adobe Reader X est programmé pour le 10 janvier 2012, à l'occasion de la fournée trimestrielle d'Adobe.
-
Adobe met à jour ses produits Reader et Acrobat afin de combler notamment une faille dans Flash Player activement exploitée dans des attaques. -
Actuellement exploitée dans le cadre d'attaques ciblées, une vulnérabilité critique affecte Flash Player et déborde sur Adobe Reader.
Vos commentaires