Une faille critique pour Adobe Reader 8

L’éditeur de solutions de sécurité SkyRecon a détecté une nouvelle vulnérabilité dans le lecteur de fichiers PDF Adobe Reader. Enregistrée sous le numéro CVE-2008-4814, elle concerne le code JavaScript inclus éventuellement dans un document.

Selon la compagnie, une des méthodes JavaScript disponibles ne valide pas correctement les données qui lui sont soumises. L’exécution de code arbitraire serait donc possible. Ceci peut mener à la prise de contrôle de la machine de l’utilisateur à distance.

Toutes les moutures d’Adobe Reader 8 sont concernées (Windows, Mac OS X et Linux), et ceci, quel que soit le mode d’utilisation : lecture d’un document local, PDF visible sur le web, fichier transmis par courrier électronique, etc.

Thomas Garnier de l’équipe R&D de SkyRecon Systems précise « qu’avec StormShield, les utilisateurs peuvent télécharger et visualiser des documents PDF en toute sécurité, car notre protection est active contre les fichiers PDF vérolés ».

Nous noterons toutefois que cette vulnérabilité concerne uniquement Adobe Reader 8. Un moyen simple de la corriger reste de suivre les conseils d’Adobe qui recommande de passer à Adobe Reader 9, ou à la version 8.1.3. Le bulletin de sécurité de la compagnie fait par ailleurs état de multiples autres failles critiques, qui concernent toutes Adobe Reader 8. Une mise à jour rapide est donc plus que nécessaire.