米Adobe Systemsは現地時間11月28日,同社のPDF閲覧ソフト「Adobe Reader」および編集ソフト「Adobe Acrobat」にセキュリティ・ホールが見つかったことを明らかにした。影響を受けるのは,Adobe Reader/Acrobat 7.0.0~7.0.8をインストールしているWindowsユーザー。細工が施されたWebページにInternet Explorer(IE)でアクセスすると,悪質なプログラムを勝手に実行される恐れがある。修正版は近日公開予定。
今回のセキュリティ・ホールを発見したのはフランスFrSIRT。Adobe SystemsとFrSIRTの情報によれば,今回のセキュリティ・ホールは,Adobe Reader/Acrobatに含まれるActiveXコントロール「AcroPDF(AcroPDF.dll)」が原因。このコントロールには,特定のデータを渡されるとメモリー破壊が発生するセキュリティ・ホールが存在する。
このため,このコントロールを呼び出すような細工が施されたWebページにIEでアクセスしただけで,コントロールやIEが不正終了したり,データに含まれた任意のプログラムを実行されたりする恐れがある。その結果,攻撃者にパソコンを乗っ取られる可能性もあるという。
セキュリティ・ホールが存在するのはActiveXコントロールのみ。このため,Windows環境のIEユーザーのみが影響を受けるとしている。Adobe ReaderとAcrobatのいずれについても,スタンドアロンで使用するうえでは全く影響を受けない。また,Acrobatの最新版「Acrobat 8」も影響を受けないとしている。
米Adobe Systemsでは,修正版を現在準備中。近日中に,セキュリティ・ホールを修正したAdobe Readerの最新版,ならびにAcrobat 7.0.8のアップデートを提供するという。
現時点での回避策は,問題のActiveXコントロールがIEから呼び出せないようにすること。Adobeでは,問題のコントロールをWindowsから削除することを回避策として挙げている。例えばAdobe Reader 7.xの場合には,「Program Files」フォルダ中の「Adobe」フォルダ以下に存在する「Acrobat 7.0」の「ActiveX」フォルダに置かれたAcroPDF.dllを削除する。
FrSIRTでは,問題のActiveXコントロールにKill Bitを設定することも回避策としている。FrSIRTによれば,同コントロールのクラス識別子(CLSID)は{CA8A9780-280D-11CF-A24D-444553540000}。Kill Bitの設定方法については,マイクロソフトのサポート技術情報を参照してほしい。
いずれの回避策でも,IEからはPDFファイルを直接閲覧できなくなる。ユーザーはPDFファイルを一度ダウンロードしてから,Acrobat Reader/Acrobatで閲覧することになる。
