米iDEFENSEは米国時間8月13日,PDFファイル閲覧ソフト「Adobe Reader」のセキュリティ・ホールを公表した。細工が施されたPDFファイルへのリンクをクリックすると,Adobe Readerでバッファ・オーバーフローが発生して,任意のプログラムを実行させられる可能性がある。影響を受けるのは,Windows版のAdobe Reader 6.xおよびAdobe Acrobat Reader 5.x。これらを含むPDFファイル編集ソフト「Adobe Acrobat」も影響を受ける。米Adobe Systemsでは,最新版6.0.2で修正したとしているが,iDEFENSEによると完全には修正されていないという。
今回のセキュリティ・ホールは,Adobe Readerに含まれるActiveXコントロール「pdf.ocx」に見つかった。Webブラウザで,PDFファイルを呼び出すような,細工が施されたリンクをクリックすると,pdf.ocxでバッファ・オーバーフローが発生する。その結果,リンクに仕込まれた悪質なプログラムを実行させられる恐れがある。
ユーザーが明示的にリンクをクリックしなくても,IMGタグやIFRAMEタグ,スクリプトなどと組み合わせることで,WebページやHTMLメールを開いただけで,攻撃を受ける可能性がある。ただし,そのリンク先のサイトでは,特定のWebサーバー(IISやNetscape Enterprise)が稼働している必要がある。
iDEFENSEの情報によると,Adobe Systemsでは最新版6.0.2でこのセキュリティ・ホールを修正したとしている。しかし,iDEFENSEが確認したところ,完全には修正されていないという。細工が施されたリンクをクリックすると,任意のプログラムを実行させられることはないものの,Adobe Readerがクラッシュする(DoS攻撃を受ける)という。
iDEFENSEでは,WebブラウザからAdobe Readerが自動的に呼び出されないようにすることを回避策としてあげている。具体的には,Adobe Readerの「編集」メニューから「環境設定」を選択し,「オプション」中の「PDFをブラウザに表示」のチェックを外す。
iDEFENSEによると,Adobe Systemsは今回のセキュリティ・ホールに関する情報を公開していないという。さらに, 任意のプログラムを実行させられるような危険なセキュリティ・ホールがバージョン6.0.2で修正されたこと,それ以前のバージョンに存在することなども明らかにしていない。加えて,6.0.2では不十分な修正を,今後どのように修正するのかなども明らかにしていないという。
◎参考資料
◆Adobe Acrobat/Acrobat Reader ActiveX Control Buffer Overflow Vulnerability(iDEFENSE)
◆Adobe Acrobat Reader ActiveX Control Buffer Overflow Vulnerability(Secunia)
(勝村 幸博=IT Pro)
