Le correctif d’Adobe pour une faille d’exécution de code à distance (RCE) dans Acrobat cette semaine ne mentionne pas que la vulnérabilité est considérée comme un zero-day ni qu’un exploit de preuve de concept (PoC) existe, avertit un chercheur. Dans le cadre du Patch Tuesday d’Adobe, l’entreprise de logiciels créatifs a corrigé CVE-2024-41869 – une vulnérabilité signalée initialement en juin par le chercheur Haifei Li, fondateur de la plateforme Expmon dédiée à la détection des zero-days et des exploits. L’avertissement de Li intervient alors que la vulnérabilité s’est vu attribuer seulement un score de base CVSS de 7,8 sur 10, ce qui ne porte pas le même poids qu’une note de criticité critique. Étant donné qu’il existe un exploit PoC en circulation, cela signifie globalement que les administrateurs système pourraient ne pas accorder à la vulnérabilité le niveau de priorisation qu’elle mérite. À la décharge d’Adobe, le fournisseur indique tout de même que la vulnérabilité d’utilisation après libération est classée comme « critique », malgré son score CVSS suggérant que la criticité est « élevée » – un cran en dessous du critique. Expmon s’attendait initialement à ce qu’un correctif soit publié plus tôt étant donné la date du rapport de juin, et son compte-rendu du processus suggère que c’était le plan initial, mais le premier correctif n’a pas tout à fait rempli sa fonction.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du
