米Core Security Technologiesは米国時間2008年11月4日,米Adobe SystemsのPDFファイル閲覧ソフトウエア「Adobe Reader」および編集ソフトウエア「Acrobat」に深刻なセキュリティ・ホールが存在すると警告した。いずれもバージョン「8.1.2」までのものが影響を受け,遠隔コード実行や個人情報流出に悪用される恐れがある。

 Adobeは同日セキュリティ情報「APSB08-19」を公開し,問題のない最新版「9」またはアップデート版「8.1.3」に移行するよう呼びかけている。移行が困難な場合には,メニューでJavaScript機能を無効化すれば攻撃を回避できる。

 Adobe Reader/AcrobatのJavaScript処理部に問題があり,細工されたJavaScript入りPDFファイルを開くとオーバーフローが発生する。これが悪用されると,パソコンのメモリーに攻撃コードが書き込まれ,個人情報が盗まれるなどする。攻撃コードは,PDFファイルを開いたユーザーの権限で動く。

[発表資料(Core Security Technologies)]
[発表資料(Core Security Technologies)]
[発表資料(Adobe)]