Cette semaine, Adobe a publié un correctif pour une vulnérabilité de type exécution de code à distance (RCE) dans Acrobat, mais il n’a pas mentionné que cette faille est considérée comme un zero-day, ni qu’un exploit de preuve de concept (PoC) est déjà disponible, selon un chercheur.

Dans le cadre de son Patch Tuesday, Adobe a corrigé la vulnérabilité CVE-2024-41869, signalée pour la première fois en juin par Haifei Li, le fondateur de la plateforme de détection de zero-day et d’exploits, Expmon.

Li souligne que la vulnérabilité a reçu un score de base CVSS de 7,8 sur 10, ce qui ne lui confère pas le même niveau d’urgence qu’une note de sévérité critique. Étant donné qu’un exploit PoC est déjà en circulation, cela pourrait amener les administrateurs système à ne pas accorder à cette vulnérabilité l’attention qu’elle mérite.

Il est à noter qu’Adobe a qualifié cette vulnérabilité de type « use-after-free » de « critique », bien que son score CVSS indique une sévérité « élevée », un cran en dessous de la catégorie critique.

Expmon s’attendait à ce qu’un correctif soit publié plus tôt, étant donné la date de signalement en juin. Leur compte rendu du processus suggère que cela faisait partie des plans initiaux, mais que le premier correctif n’a pas complètement résolu le problème.

En août, Adobe a informé Expmon : « Je peux confirmer que notre équipe produit Acrobat a identifié un correctif secondaire nécessaire pour résoudre complètement ce problème. Nous examinons activement et travaillons à prioriser ce correctif dans un prochain patch. Je vous tiendrai informé dès que nous aurons un calendrier de publication clair. »

• Marre des files d’attente à la sécurité des aéroports ? Injectez-vous dans le cockpit, affirment des chercheurs.
• Volt Typhoon soupçonné d’exploiter une faille dans Versa SD-WAN depuis juin.
• Le Patch Tuesday de Microsoft perturbe les PC à double démarrage Linux-Windows.
• Google corrige une faille Android exploitée dans la nature, parmi d’autres.

Expmon a annoncé qu’il partagerait le PDF contenant l’exploit PoC « dans les prochains jours », rendant ainsi la mise à jour urgente une fois que le modèle d’exploit sera accessible à tous.

Le fichier PDF ne contient pas encore un exploit complet, a précisé Expmon lors de l’annonce de la découverte en juin. Aucun payload malveillant n’a été trouvé dans l’échantillon, mais les bases d’une attaque RCE potentielle ont été établies. Pour l’instant, cela entraîne simplement un plantage de l’application Acrobat Reader.

Une fois l’échantillon publié, il est probable que ce socle soit rapidement exploité par des acteurs malveillants.

Il reste flou pourquoi Adobe n’a pas mentionné l’existence d’un PoC ou que des chercheurs l’ont classé comme une vulnérabilité zero-day. Nous avons contacté le fournisseur pour obtenir des éclaircissements et mettrons à jour l’article si nous recevons une réponse.

Étant donné que le score CVSS n’est pas dans la plage critique, les défenseurs apprécient généralement des informations supplémentaires, telles que la connaissance d’exploits fonctionnels par le fournisseur, afin d’améliorer leur processus de correction.

Des détails supplémentaires sur cette question seront publiés dans un prochain article de blog coécrit par Expmon et Check Point Research.