Difficile de parler des lecteurs d’Adobe dans ces colonnes sans évoquer une énième vulnérabilité. Dont acte : les équipes de veille SSI (CIRT) de l’équipementier militaire Lockheed Martin auraient identifié une vulnérabilité dans Adobe Reader et Acrobat pour Windows, Mac et Unix (référencée CVE-2011-2462)

Dans le détail sont concernées les versions 10.1.1 et inférieures d’Adobe Reader X pour Windows et Macintosh, ainsi que Adobe Reader 9.4.6 et inférieures (9.x) pour UNIX. Du côté d’Adobe Acrobat, il s’agit de la version actuelle (10.1.1) et des précédentes pour Windows et Macintosh.

Cette faille serait actuellement exploitée dans le cadre d’attaques ciblées sous Windows seulement et contre les versions 9.x uniquement. Les mécanismes d’anti-exécution d’Adobe Reader X et Adobe Acrobat X ne permettraient pas l’exploit de fonctionner.

Adobe a annoncé travailler en priorité sur un correctif pour les versions 9x sous Windows car il s’agit de la configuration pour laquelle une attaque est actuellement en cours. Un correctif d’urgence sera proposé d’ici lundi prochain (le 12 décembre).

Les autres configuration (versions Unix ou Mac, ou Reader / Acrobat X) seront corrigées le 10 janvier 2012 à l’occasion de la prochaine rustine trimestrielle.

Adobe profite de l’occasion pour rappeler aux utilisateurs des versions 9.x de ses lecteurs que la branche 10 embarque des mécanismes anti-exploitation qui la rendent largement plus sûre (sans pour autant être infaillible, comme l’histoire l’a montré), et qu’il serait dommage de s’en priver…

L’alerte d’Adobe peut être consultée ici, et un billet du blog officiel offre quelques éléments de contexte.