米Adobe Systemsは米国時間12月13日,同社のPDF閲覧ソフト「Adobe Reader」および編集ソフト「Adobe Acrobat」に危険なセキュリティ・ホールがあることを明らかにした。セキュリティ・ホールが存在するのは,Windows版およびMac版のAdobe Reader/Acrobat 6.0.0から6.0.2,UNIX版のAdobe Reader 5.0.9。対策は,同社が公開するセキュリティ・アップデートを適用することなど。

 Adobe Reader/Acrobatのセキュリティ・ホールを発見したのは,セキュリティ・ベンダー米iDEFENSE。Windows/Mac版のAdobe Reader/Acrobatには,「eBookプラグインに関するセキュリティ・ホール」が,UNIX版のAdobe Readerには「バッファ・オーバーフローのセキュリティ・ホール」があることを,米国時間12月14日付けでそれぞれ公表した。いずれも,細工が施されたファイルを読み込むだけで任意のプログラムを実行させられる危険なセキュリティ・ホールである。

 対策は,Adobe Systemsが公開するセキュリティ・アップデートを適用すること。Windows/Mac版のAdobe Reader/Acrobatでは,アップデートを適用するとバージョンは6.0.3になる。なお,Windows/Mac版のセキュリティ・アップデートは,前述の「eBookプラグインに関するセキュリティ・ホール」に加え,既に報告されている(1)「PNGライブラリに関するセキュリティ・ホール」関連記事)および(2)「Flashファイルの処理に関するセキュリティ・ホール」も解消する。

 また,iDEFENSEの情報によれば,「eBookプラグインに関するセキュリティ・ホール」については,「C:\Program Files\Adobe\Acrobat 6.0\Reader\plug_ins\eBook.api」が存在する場合には,このファイルを削除すれば影響を回避できるという。ただし,このファイルを削除すると,Acrobat ReaderでeBookを扱えなくなる。

 UNIX版のAdobe Readerでは,「Adobe Reader 5.0.10 for UNIX」にアップデートすることが対策となる。Adobe Readerのダウンロード・ページから入手してインストールする。

◎参考資料
Adobe Acrobat 6.0.3 Professional and Standard (Windows)
Adobe Acrobat 6.0.3 Professional and Standard (Macintosh)
Adobe Reader 6.0.3 update (Windows)
Adobe Reader 6.0.3 update (Macintosh)
Download Adobe Reader
Adobe Reader 6.0 .ETD File Format String Vulnerability
Adobe Acrobat Reader 5.0.9 mailListIsPdf() Buffer Overflow Vulnerability
Acrobat Reader 5.0.10 for UNIX addresses potential security vulnerability
Set preferences to prevent malicious playback (Acrobat 6.0-6.0.2, Adobe Reader 6.0-6.0.2)

(勝村 幸博=IT Pro)