février 15th, 2013

Pour l’instant, il ne s’agit que d’une alerte portant sur deux failles distinctes affectant Adobe Reader et Acrobat XI. Alerte considérée comme « critique » car faisant l’objet d’une exploitation au moins dans le monde Windows (mais le communiqué est assez clair sur l’existence du risque sur plateforme Macintosh). Ces deux vulnérabilités peuvent être utilisées pour provoquer un crash de l’application (un déni de service ne justifie que rarement une qualification de « critique »), mais peuvent également être utilisées pour prendre contrôle à distance de la machine cible. Aucun détail technique n’est divulgué pour l’instant de la part de l’éditeur, mais l’inventeur du trou , FireEye, est un peu plus prolixe sur le sujet : l’attaque utilise un Javascript qui s’adapte en fonction de la version d’Acrobat Reader installé, contourne les protections ASLR et DEP, puis récupère une charge utile sous forme de DLL qui se fait passer pour un add-in linguistique.

Un correctif « out of band » doit donc être prévu dans les jours ou les heures qui suivent.