米アドビシステムズは2011年12月6日、Adobe ReaderとAcrobatに新たな脆弱性が見つかったことを明らかにした。この脆弱性を悪用した標的型攻撃が出現しているという。Windows版Adobe Reader/Acrobat 9の脆弱性を修正するセキュリティアップデートは12月12日の週までに公開する予定。
脆弱性の影響を受けるのは以下のバージョン。Windows版/Mac版のAdobe Reader X/Acrobat Xについては、バージョン10.1.1およびそれ以前。Windows版/Mac版/UNIX版のAdobe Reader 9.xについては、バージョン9.4.6およびそれ以前。Windows版/Mac版のAcrobat 9.xについては、バージョン9.4.6およびそれ以前。
今回見つかったのは、Adobe ReaderおよびAcrobatのデータ処理に関する脆弱性。細工が施されたPDFファイルを読み込むと、中に仕込まれたウイルス(悪質なプログラム)を実行される恐れなどがある。
実際、今回の脆弱性を悪用した攻撃が確認されている。アドビシステムズによれば、特定の企業/組織を狙った標的型攻撃だという。攻撃者は、脆弱性を突くPDFファイルをメールに添付して送信しているもよう。
米シマンテックでは、11月1日と11月5日に、今回の脆弱性を悪用する攻撃メールを確認。その一部を公表している(図)。
今回の脆弱性を修正するセキュリティアップデートは未公開。このため今回の攻撃は、いわゆるゼロデイ攻撃でもある。
アドビシステムズによれば、攻撃対象になっているのはWindows版Adobe Reader 9.4.6。このため、Windows版Adobe Reader 9.xおよびAcrobat 9.xのセキュリティアップデートは、12月12日の週までに先行して公開する予定。そのほかの製品のセキュリティアップデートは、2012年1月10日(米国時間)に公開するとしている。
なお、Adobe Reader XおよびAcrobat Xについては、セキュリティが強化されているため、脆弱性を悪用されても影響を抑えられるという。具体的には、Adobe Reader Xでは「保護モード」、Acrobat Xでは「保護されたビュー」というセキュリティ機能が実装されている。
これらは、一般的には「サンドボックス」と呼ばれる機能。Adobe Readerなどを保護された処理環境(サンドボックス化された処理環境)で実行し、ハードディスクへの書き込みなどをできないようにする。これにより、脆弱性を悪用されてAdobe Readerなどを乗っ取られた場合でも、ウイルス感染などを防げる。
Adobe Reader Xの保護モードは初期設定で有効だが、Acrobat Xの保護されたビューは無効。有効にしたい場合には、「編集」メニュー→「環境設定」→「セキュリティ(拡張)」において、ユーザーが明示的に設定する必要がある。
保護されたビューを有効にしたAcrobatでPDFファイルを開くと、読み取り専用モードになるので要注意。編集するには、保護されたビューを一時的に解除する必要がある。
