Une rustine non officielle pour Adobe Reader
Alors que depuis janvier, une faille laisse les logiciels Reader et Acrobat d'Adobe vulnérables aux attaques, l'éditeur ne prévoit pas de fournir de patch avant le 11 mars prochain. Qu'à cela ne tienne, depuis dimanche, Lurene Grenier, experte en sécurité chez SourceFire, propose sa rustine maison.
Celle-ci, un fichier AcroRd32.dll à mettre à la place de celui fourni par Adobe, ne fonctionne que sous Windows avec Adobe Reader 9. Ceux qui utilisent une version plus ancienne doivent d'abord télécharger la plus récente avant d'installer le patch. Lurene Grenier précise également que cette rustine, réalisée depuis chez elle en très peu de temps, ne présente aucune garantie de protection totale. Elle protège juste contre les attaques qui ont déjà été répertoriées utilisant cette faille d'Adobe, en attendant la vraie rustine.
La faille, rendue publique le 12 février dernier mais probablement utilisée depuis début janvier, concerne les versions 7,8 et 9 de Reader et d'Acrobat. La mise à jour de sécurité que doit livrer le 11 mars prochain Adobe ne devrait concerner que les versions 9 les plus récentes. L'éditeur prévoit de livrer un patch pour les éditions précédentes à une date ultérieure non précisée. En attendant, les experts en sécurité recommandent de désactiver la prise en charge des JavaScript, de mettre son antivirus à jour et de faire attention aux PDF suspects.