Adobe Reader/Acrobatに未修正の脆弱性

8月4日、Adobe Reader/Acrobatに未修正の脆弱性が発見されたとしてセキュリティ対策企業が注意を呼びかけている。

デンマークのセキュリティ対策企業セキュニア社のアドバイザリーによると、脆弱性はAdobe Reader/Acrobatの最新版である9.3.3と8.2.3を含むすべてのバージョンに存在するという。この脆弱性は不正なTrueTypeフォントを含んだPDFファイルを処理する際に「CoolType.dll」モジュール内で発生する整数オーバーフロー問題に起因する。細工を施したPDFファイルをユーザーが開くと、攻撃者により任意のコードを実行される危険性がある。

この脆弱性に対するアドビ社の更新プログラムは現時点では存在しない(追記:8月16日に定例外リリースされる予定でしたが、アドビ社は、Adobe Reader/Acrobatのアップデートを米国時間8月19日に公開すると発表しました)。

対策としては、出所が明らかでない不審なPDFファイルは開かないことが一番大切である。また、Adobe Readerのjavascript機能は、脆弱性の攻撃に利用されることが多いため、この機能を無効に設定することもあわせて推奨する。

(英文)アドビ社のセキュリティアドバイザリー
(英文)セキュニア社のアドバイザリー
Gumblar(ガンブラー)型ウィルスの予防(Adobe Readerの設定変更についての解説あり)
Adobe ReaderとAcrobatに未解決の脆弱性情報、不審なPDFに注意(ITmedia)
Adobe Reader/Acrobatのセキュリティアップデート、米国時間19日に公開(NTERNET Watch)

関連キーワード:

Acrobat

Adobe Reader/Acrobat

javascript

脆弱性

  • 2010年7月のIT総括
  • カテゴリートップへ
  • 警察庁セキュリティポータルサイト「@police」とは