Lors d’un récent concours de sécurité, trois machines étaient disponibles pour être piratées : un MacBook Air, une sous Vista et enfin la dernière sous Ubuntu. Aucun des trois systèmes n’a été piraté, et il a fallu attendre le deuxième jour et l’inclusion des applications tierces pour que les tentatives fonctionnent.

Si le MacBook Air a échoué en premier à cause d’un composant du navigateur Safari, la deuxième machine à tomber était sous Vista, à cause d’une faille du lecteur Flash. En fait, cette faille existant dans le lecteur même, elle était théoriquement exploitable sur l’ensemble des systèmes d’exploitation pouvant l’accueillir. Pour des raisons de connaissance de la plateforme, Shane Macaulay a choisi le portable avec Vista.

Comme le stipulaient très clairement les règles du concours CanSecWest 2008 Pwn2Own, il était strictement interdit de dévoiler publiquement le code utilisé pour les attaques des systèmes. Toute faille non connue et exploitée devait être communiquée de manière responsable à l’éditeur concerné. C’est ce qui a été fait pour Adobe, et la suite n’a pas été immédiatement connue.

La société vient de communiquer par l’intermédiaire d’Erick Lee sur le blog de l’Adobe Product Security Incident Response Team (PSIRT). Il y indique ainsi que la société était déjà parfaitement au courant de la faille. Et non seulement elle savait, mais elle avait déjà corrigé le problème. C’est quelque peu étonnant, mais Adobe ne prévoit pas de lancer la mise à jour avant la fin du mois.

On ne saura jamais réellement si cette communication est parfaitement franche, ou si l’éditeur lance cette explication pour faire bonne figure. Il faut bien avouer qu’il ne ressortait pas nécessairement grandi du concours Pwn2Own.