Faille critique dans Adobe Reader et Acrobat

Gare aux documents .pdf d’origine douteuses ! Adobe Systems vient de lancer une alerte sur ses logiciels stars : Adobe Reader et Acrobat. Ces derniers contiennent une faille critique pouvant être exploité à distance par un hacker.

Le risque est classique : la vulnérabilité (exécutée à partir d’un document .pdf piégé) permet la prise de contrôle à distance de l’ordinateur afin de dérober des données ou de le transformer en machine à spam (PC zombie).

Les versions touchées sont Adobe Reader 8.1 et précédentes, Acrobat Standard, Professional et Elements 8.1 et précédents, ainsi qu’Acrobat 3D, tous sous Windows XP avec Internet Explorer 7. L’installation du dernier IE 7 dans XP n’est d’ailleurs pas étranger à l’apparition de cette faille. Les utilisateurs de Windows Vista ne sont pas concernés.

Découverte le 5 octobre par le désormais célèbre Petko Petkov, la faille n’est toujours pas corrigé. Pire, Adobe prévient que le patch salvateur ne sera pas disponible avant la fin du mois. Un délai très important compte tenu de la popularité de ces logiciels : des millions de personnes lisent ou envoient des documents .pdf chaque jour, surtout en milieu professionnel.

En attendant, Adobe a publié sur son site un guide permettant de contourner le problème. Mais ces instructions ne sont pas à la portée de n’importe quel novice puisqu’il s’agit de modifier les paramètres de la base de registre Windows (désactivation du protocole mailto). Délicat !

Adobe conseille donc aux utilisateurs qui ne seraient pas capables d’effectuer ces manipulations d’attendre que le patch soit publié.

L’éditeur se veut rassurant et explique qu’aucun ‘exploit’ lié à cette faille n’a été observé. Pour le moment !

La note d’Adobe sur cette faille.