Adobe sort son correctif trimestriel avec 8 patchs de sécurité
Adobe a livré huit patchs de vulnérabilités, dont six critiques, pour corriger des problèmes de sécurité sur Acrobat et Acrobat Reader. Les experts en sécurité de l'éditeur, qui qualifie pour la première fois cette mise à jour de « particulièrement importante », recommandent vivement aux utilisateurs et aux administrateurs techniques des entreprises de ne pas attendre les correctifs de Microsoft pour l'appliquer et contrer une faille d'Acrobat déjà exploitées par les pirates.
Le bug, qui avait été rendu public mi-décembre, et utilisé par des hackers depuis novembre, n'avait pas encore été corrigé. Le mois dernier, Adobe avait indiqué qu'il ne livrerait pas de correctif d'urgence avant le 12 janvier, pour ne pas perturber son calendrier de mises à jour trimestrielles. En attendant, les pirates ont continué à lancer des attaques ciblées contre des individus et des entreprises spécifiques, parfois de grande envergure, touchant des milliers d'utilisateurs.
Adobe a signalé six des huit portes de vulnérabilité par des phrases telles que "pourrait permettre l'exécution de code arbitraire" ou "pourrait conduire à l'exécution de code, » notifiant à l'utilisateur les tentatives faites pour s'introduire dans leur système.
Si Adobe, comme Apple, ne donne pas d'explication sur les éléments qu'il corrige, trois des patch critiques amendent des bugs liés à l'analyse et la compatibilité des fichiers U3D (Universal 3D) dans Reader et Acrobat, et un bug lié au gestionnaire de téléchargement d'Adobe livré avec Acrobat Reader. Un cinquième patch corrige un problème de corruption de mémoire. La mise à jour a également corrigé des défauts moins graves qui pourraient être utilisés pour faire 'planter' Reader ou Acrobat, ou être utilisés par un pirate pour modifier les paramètres de sécurité du logiciel.
Les mises à jour font passer les versions de Reader et d'Adobe Acrobat en 9.3 et 8.2 respectivement. Les correctifs du Reader sont disponibles pour Windows, Mac et Linux et ceux d'Acrobat uniquement pour Windows et Mac. Concernant Acrobat et Acrobat Reader 7, Adobe indique que le support de mise à jour de ces versions est arrivé à terme il y a un mois. Adobe a du mal à suivre le rythme des attaques de pirates, qui s'en sont pris au format PDF à large échelle l'an dernier et il semble qu'ils vont continuer en 2010. L'an dernier, Adobe avait livré quatre patchs de sécurité juste après la découverte de failles. Et 2010 commence déjà avec un « zero-day patch » au calendrier d'Adobe.
Pour aider les consommateurs à rester à jour - et leur donner une meilleure chance de faire face aux attaques - Adobe a lancé hier un bêta test de son updater automatique. Si les tests sont concluant, Adobe mettra son système à la disposition de tous à partir du 13 avril, date de la prochaine mise à jour de sécurité de Reader et Acrobat. Adobe Reader pour Windows, Mac et Linux peut être téléchargé à partir du site Web d'Adobe. Les versions Windows et Mac d'Acrobat peuvent être téléchargées en utilisant le lien inclus dans le communiqué fait mardi. Les utilisateurs ont aussi la possibilité d'activer « rechercher les mises à jour » dans le menu des programmes d'Adobe.