La faille dans Acrobat Reader est exploitée depuis janvier

On en sait un peu plus sur la faille critique non corrigée qui frappe Acrobat Reader, une vulnérabilité connue depuis le 20 février. Selon les observations de Shadowserver, la faille constatée concernerait les versions « 8.1.x et 9 d’Acrobat Reader destinées aux PC sous Windows XP SP3« . Pour autant, les autres versions du logiciel ne seraient pas à l’abri de la vulnérabilité. En outre, d’autres produits de la famille Acrobat de la firme Adobe sontr impactés.

Afin d’exploiter la vulnérabilité, les hackers utilisent un document PDF qui contient du code JavaScript. Ce code une fois exécuté installe un cheval de Troie sur la machine cible.

Reste que selon l’éditeur Sourcefire, qui a publié un patch maison, la faille circule dans la nature depuis bien longtemps et son exploitation aurait débuté au début du mois de janvier. Une exploitation importante puisque assez simple à mettre en place. Un code d’exploitation remontant au 9 janvier aurait ainsi été découvert par les équipes de Sourcefire.

« Nous observons une montée en puissance de l’exploitation de cette faille »,commente de son côté André DiMino, fondateur de la Fondation Shadowserver qui a rendu publique la vulnérabilité.

Et cette tendance devrait s’amplifier puisqu’Adobe a prévenu : un correctif officiel ne sera pas disponible avant le 11 mars prochain. Il est donc conseillé de désactiver la fonction JavaScript sur les fichiers pdf dans le lecteur Acrobat. Une fonction accessible dans le menu « Edition » puis « Préférences ». Une action préventive mais délicate : certaines applications professionnelles ont besoin de cette fonction.