La vulnérabilité de sécurité en question a été rapportée à Adobe par Lockheed Martin CIRT et des membres du Defense Security Information Exchange qui effectuent un travail de veille de sécurité pour des groupes militaires. Ce n'est toutefois pas la première fois qu'ils préviennent Adobe d'une faille.

Celle-ci est critique et affecte Adobe Reader X ainsi que Adobe Reader 9.x. Elle est de type 0-day, autrement dit à exploitation immédiate. Le problème si situe au niveau du traitement de données U3D pour l'échange de données 3D. Avec le format PDF, il est possible d'intégrer nativement des scènes U3D dans un document.

Pour le moment, Adobe fait état d'une exploitation active dans le cadre d'attaques limitées et ciblées à l'encontre d'Adobe Reader 9.x sous Windows. Comme presque toujours depuis l'apparition du mode protégé dans Adobe Reader X, cette fonctionnalité de sandbox fait barrage à l'exécution d'un code malveillant.

Adobe prévoit un correctif en urgence pour la semaine prochaine. Il sera à destination d'Adobe Reader 9.x pour Windows. Un patch pour Adobe Reader X est programmé pour le 10 janvier 2012, à l'occasion de la fournée trimestrielle d'Adobe.