2009-02-20_212319.png Adobe reader 7, 8 et 9, ainsi qu'Acrobat Pro et Pro Extended présentent une faille de sécurité de type buffer overflow, exploitable pour prendre le contrôle d'un système à distance. Windows, Mac OS et Linux sont concernés, si une version de ces programmes est présente : l'ouverture d'un document PDF piégé, la consultation d'une page avec un PDF encapsulé, ou la fonction de prévisualisation ou de miniature d'un explorateur de fichiers suffit à piéger la machine.

Ce type de faille est critique, doit être corrigé au plus vite, sans quoi un malware ou un ver automatise le processus d'exploitation ou de diffusion de fichiers piégés par le biais du spam. Malheureusement, Adobe a annoncé qu'il n'y aurait pas de mise à jour avant le 11 mars, ce qui semble bien long.

Une parade temporaire consiste à désactiver la fonction Acrobat Javascript (menu édition, préférences, javascript, décocher la case) :
pdfjavascript.gif

Le communiqué d'Adobe est consultable ici : http://www.adobe.com/support/security/advisories/apsa09-01.html

Dans la crainte, des lecteurs alternatifs, plus légers, commme Foxit ou d'autres sont moins vulnérables. De manière générale, n'ouvrez pas de fichiers de provenance douteuse ou incertaine, notamment reçus par e-mail.