米Adobe Systemsは米国時間12月6日,PDF閲覧ソフトの新版「Adobe Reader 8」を公開した(関連記事:「Adobe Reader 8」がリリース)。新版ではさまざまな機能が追加されたほか,11月末に公表された危険な脆弱性(セキュリティ・ホール)も修正されている。このため同社では,新版へのアップグレードを推奨している。
11月末に明らかにされたセキュリティ・ホールは,Adobe Reader/Acrobatに含まれるActiveXコントロール「AcroPDF(AcroPDF.dll)」に関するもの(関連記事:Adobe ReaderとAcrobatに危険なセキュリティ・ホール)。このコントロールには,特定のデータを渡されるとメモリー破壊が発生するセキュリティ・ホールが存在する。
このため,このコントロールを呼び出すような細工が施されたWebページにInternet Explorer(IE)などでアクセスすると,コントロールやIEが不正終了したり,データに含まれた任意のプログラムを実行されたりする恐れがある。
Adobeではセキュリティ・ホールに関する情報と回避策を公表したが,修正版は未公開だった。今回公開されたAdobe Reader 8では,このセキュリティ・ホールは修正されている。Adobe Reader 8は同社Webサイトからダウンロードできる。危険なセキュリティ・ホールなので,Adobe Readerユーザーは最新版にアップグレードしたい。
すぐにアップグレードできない環境では,問題のActiveXコントロールを新しいものに入れ替えるだけでも対策となる。具体的には,「Program Files」フォルダ中の「Adobe」フォルダ以下に存在する「Acrobat 7.0」の「ActiveX」フォルダに置かれたAcroPDF.dllを,同社が提供する新しいAcroPDF.dllに入れ替える。新しいAcroPDF.dllへのリンクや入れ替えの手順は,同社のセキュリティ情報(Security Bulletin)に記載されている。
