Logo Adobe Pro Adobe rapporte l'existence d'une vulnérabilité de sécurité critique dans Adobe Reader et Acrobat 9.1.3 ( et versions précédentes ) sous Windows, Mac OS X et UNIX. Des attaques dites limitées ont été observées via des exploits ciblant uniquement l'environnement Windows.

La société de sécurité Secunia a émis à ce sujet un avis de sécurité et d'évoquer une vulnérabilité de sécurité qualifiée d'extrêmement critique, soit le niveau maximal de son échelle de dangerosité. Pour Secunia, cette vulnérabilité est actuellement activement exploitée, mais guère plus d'informations si ce n'est la phrase très générique : " cette vulnérabilité est due à une erreur non spécifiée et peut être exploitée pour l'exécution de code arbitraire ".

Adobe précise néanmoins que les utilisateurs Windows Vista avec le dispositif DEP ( Data Execution Prevention ) activé sont a priori immunisé contre l'exploit diffusé. L'éditeur préconise également une mesure de contournement consistant à désactiver la prise en charge JavaScript dans Adobe Reader, mais d'indiquer qu'une variante de l'exploit ne tirant pas parti de JavaScript est du domaine du possible.

Afin de résoudre ce problème, des mises à jour seront proposées mardi 13 octobre 2009, jour d'un imposant Patch Tuesday pour Microsoft. Ce n'est pas un hasard puisque Adobe a adopté depuis cet été un rythme de publication trimestriel et calé sur le Patch Tuesday de Microsoft  pour ses mises à jour de sécurité à destination d'Adobe Reader et Acrobat. Une politique mise en place pour faciliter le déploiement des correctifs par les administrateurs.