Adobe a reconnu l'existence de deux vulnérabilités hautement critiques dans toutes les versions de son logiciel Adobe Reader pour toutes les plateformes. David Lenoe, sur le blog Adobe Product Security Incident Response Team (PSIRT), recommande de désactiver le JavaScript dans Adobe Reader tant qu'il n'y aura pas de version corrigeant ces failles. Aucune date n'est fournie pour cette mise à jour.

  1. Lancer Adobe Reader
  2. Aller dans le menu « Édition »
  3. Cliquer sur « Préférences »
  4. Choisir la catégorie « JavaScript »
  5. Décocher l'option « Activer Acrobat JavaScript »
  6. Cliquer sur « OK ».

Mikko Hypponen, directeur des laboratoires de recherche de l'éditeur F-Secure, déconseille l'usage d'Adobe Reader. La recrudescence des attaques contre le lecteur de PDF est telle qu'il convient d'en changer.

Selon les statistiques de F-Secure, le nombre d'attaques ayant recours à l'utilisation du format PDF a été multiplié par 20 en un an. L'éditeur a recensé 2 305 fichiers infectés du 1er janvier au 15 avril 2009, contre seulement 128 l'an dernier à la même période. Un grand nombre d'attaques consiste à envoyer par e-mail en pièces jointes des fichiers PDF infectés ayant pour objectif le vol d'informations par une porte dérobée.

Sur PDFreaders.org, on trouve la liste des lecteurs de PDF libres. Personnellement, j'utilise Foxit Reader qui n'est pas libre mais gratuit. Il est beaucoup moins lourd qu'Adobe Reader et fait bien ce pourquoi il fait. Il dispose d'un plugin pour Firefox.

Ce n'est pas que ces lecteurs ne puissent pas être victimes de failles et même de fichiers PDF piégés adaptés pour eux depuis les failles découvertes dans l'Adobe Reader, mais que la probabilité de tomber sur un tel fichier est extrêmement moindre. Les auteurs de malwares cherchent la rentabilité pour leur créature. La diversité des lecteurs et leur faible part de marché respective sont un bon rempart contre l'exploitation des failles de sécurité des lecteurs PDF.