Au lendemain de la présentation d’un procédé d’attaque exploitant le format PDF lui-même (et non une vulnérabilité de type zero-day), la réponse d’Adobe a de quoi étonner : « Section 12.6.4.5 of the specification defines the /launch command. This is an example of powerful functionality relied on by some users that also carries potential risks when used incorrectly ».

Bref, c’est le format PDF lui-même qui est donc en cause ici, et Adobe semble n’y voir aucun problème. L’attaque, pourtant, serait déjà exploitée dans la nature (a minima par des pentesters d’après ZDnet).

Pour l’heure la démonstration de l’attaque fonctionne aussi bien avec le lecteur d’Adobe qu’avec un outil alternatif bien connu tel Foxit Reader . Mais ce dernier devrait être patché prochainement, à en croire son éditeur.