Difficile de parler des lecteurs
d’Adobe dans ces colonnes sans évoquer une énième vulnérabilité. Dont acte :
les équipes de veille SSI (CIRT) de l’équipementier militaire Lockheed
Martin auraient identifié une vulnérabilité dans Adobe Reader et Acrobat pour
Windows, Mac et Unix (référencée CVE-2011-2462)
Dans
le détail sont concernées les versions 10.1.1 et inférieures d’Adobe Reader X
pour Windows et Macintosh, ainsi que Adobe Reader 9.4.6 et inférieures (9.x)
pour UNIX. Du côté d’Adobe Acrobat, il s’agit de la version actuelle (10.1.1)
et des précédentes pour Windows et Macintosh.
Cette
faille serait actuellement exploitée dans le cadre d’attaques ciblées sous
Windows seulement et contre les versions 9.x uniquement. Les mécanismes
d’anti-exécution d’Adobe Reader X et Adobe Acrobat X ne permettraient pas
l’exploit de fonctionner.
Adobe
a annoncé travailler en priorité sur un correctif pour les versions 9x sous
Windows car il s’agit de la configuration pour laquelle une attaque est
actuellement en cours. Un correctif d’urgence sera proposé d’ici lundi prochain
(le 12 décembre).
Les
autres configurations (versions Unix ou Mac, ou Reader / Acrobat X) seront
corrigées le 10 janvier 2012 à l’occasion de la prochaine rustine
trimestrielle.
Adobe
profite de l’occasion pour rappeler aux utilisateurs des versions 9.x de ses
lecteurs que la branche 10 embarque des mécanismes anti-exploitation qui la
rendent largement plus sûre (sans pour autant être infaillible, comme l’histoire
l’a montré), et qu’il serait dommage de s’en priver…
L’alerte
d’Adobe peut être consultée
ici, et un billet du blog officiel offre quelques éléments de contexte.
Aucun commentaire:
Enregistrer un commentaire