Le 7 février, Adobe a publié une nouvelle version de son célèbre et populaire lecteur de fichiers PDF, Adobe Reader. Estampillée 8.1.2, cette énième mouture avait pour objectif de résoudre des problèmes de stabilité mais également de combler trois trous de sécurité sur lesquels Adobe est resté relativement évasif, ne divulguant que très peu de détails à leur sujet.

Trend Micro rapporte que l’une de ces vulnérabilités a été activement exploitée par des attaquants distants pendant au moins trois semaines avant sa correction. Le plus embêtant est que Adobe est d’une certaine manière coupable de cette exploitation, car en réalité, dès octobre 2007, l’éditeur a eu vent de la faille. Aucune action correctrice n’a donc été engagée pendant plusieurs mois et il aura fallu attendre la publication d’un code exploit dans un forum italien pour que Adobe daigne réagir.

Depuis le 20 janvier, via des bannières publicitaires (iframes malicieuses) ou des spams, un fichier PDF malicieux capable d’exploiter ladite vulnérabilité a été diffusé, avec pour mission de se connecter à un serveur distant hébergeant divers malwares. La vulnérabilité serait imputable à l’analyseur de code JavaScript embarqué dans le document PDF pour un exploit qui affecte Adobe Reader 8.1.1 et ses versions antérieures.

Adobe recommande fortement aux utilisateurs concernés de mettre à jour leur version pour se prémunir de tout risque. Il est cependant malheureux d’observer que comme cela est bien trop souvent le cas, même informés de la présence d’une vulnérabilité, nombre d’éditeurs préfèrent attendre les premiers rapports d’exploitation avant de réagir plus ou moins rapidement dès lors.