Adobe live une mise à jour de sécurité d'Adobe Reader et Acrobat. Pour Adobe Reader, toutes les plateformes sont concernées afin de faire passer le lecteur PDF en version 9.4. À noter que pour les systèmes UNIX, cette version 9.4 est à télécharger via un miroir ftp. Elle sera proposée depuis le centre de téléchargement d'Adobe à partir du 21 octobre.
La mise à jour d'Adobe Reader permet de combler un total de 23 vulnérabilités. Un total conséquent mais il s'agit de la fournée trimestrielle de correctifs de sécurité qui a été anticipée d'une semaine. La principale cause de cette publication intervenue plus tôt que prévu est l'exploitation active d'une vulnérabilité.
Dévoilée début septembre, cette faille d'exécution de code arbitraire à distance a été classée avec un niveau de dangerosité maximal par la plupart des sociétés de sécurité. Elle est due à un dépassement de tampon lors du traitement des polices de caractère dans le module CoolType.dll. Pour une exploitation, l'utilisateur doit ouvrir un fichier PDF spécialement conçu.
Le code exploit est à même de fonctionner même sous Windows 7 et Vista en passant outre les technologies de protection ASLR ( Address Space Layout Randomization ) et DEP ( Data Execution Prevention). Quelques jours après l'avis de sécurité d'Adobe, Microsoft avait d'ailleurs proposé une solution afin de bloquer les attaques.
À souligner que la mise à jour d'Adobe permet de corriger un trou de sécurité qui affectait également Flash Player avant la mise à jour de ce dernier fin septembre.
Télécharger Adobe Reader 9.4 ( ou mécanisme interne de mise à jour )
