Adobe prévoit d’expédier une mise à jour dans une semaine à partir d’aujourd’hui qui corrige une vulnérabilité critique dans son programme gratuit et largement utilisé PDF Reader. Malheureusement, selon les experts, les pirates informatiques commencent à multiplier les tentatives d’exploitation de la faille et à installer des logiciels malveillants via des fichiers PDF empoisonnés.
le Centre de tempête Internet SANS met en garde qu’il commence à recevoir des soumissions de fichiers PDF malveillants d’experts dans le domaine. Il est difficile de dire à quel point il est probable que votre utilisateur Web moyen rencontre l’un de ces PDF désagréables, même si je ne serais pas du tout surpris de voir les méchants profiter davantage de la situation d’ici mardi prochain.
Heureusement, il existe un moyen simple d’atténuer la menace jusqu’à ce qu’Adobe corrige la faille : désactivez Javascript. Pour ce faire, suivez les instructions de l’avis d’Adobe, sous l’en-tête « solutions » à cette page. Si ce réglage crée un problème d’une manière ou d’une autre, vous pouvez toujours l’annuler. Ou, lisez des PDF en utilisant un autre programme de lecture gratuit (je préfère Lecteur Foxit).
À plus long terme, il semble qu’Adobe envisage d’inclure des fonctionnalités qui corrige silencieusement les failles de sécurité sans aucune action de l’utilisateur. Actuellement, Adobe Reader est livré avec un composant qui invite les utilisateurs à installer les mises à jour, mais bien sûr, de nombreux utilisateurs ignorent cet avertissement encore et encore. Compte tenu de l’omniprésence de ce programme, je considère cela comme un développement positif dans l’ensemble, à condition qu’Adobe ne gaspille pas une opportunité de sécurité en proposant des « extras », tels que des barres d’outils tierces ou des programmes d’essai.