米iDEFENSEは米国時間12月21日,PDF(Portable Document Format)ファイル閲覧ソフト「Xpdf」に見つかったセキュリティ・ホールを公表した。細工が施されたPDFファイルを読む込むだけで,悪質なプログラムを実行させられる可能性がある。対策はパッチを適用することなど。
XpdfはオープンソースのPDFファイル閲覧ソフトであり,Linuxディストリビューションなどに含まれている。iDEFENSEによれば,今回のセキュリティ・ホールはXpdfのバージョン3.00で確認しているという。ただし,これ以前のバージョンにも同様のセキュリティ・ホールが存在するだろうとしている。
iDEFENSEでは,以下のディストリビューションに,セキュリティ・ホールがあるXpdfが含まれていることを確認しているという。
- SUSE Linux
- Red Hat Linux
- Fedora Core
- Debian Linux
- Gentoo Linux
- FreeBSD (ports)
- OpenBSD
対策はパッチを適用すること。あるいはパッチを適用したバージョンにアップグレードすること。Xpdfバージョン3.00のソース・コードに適用するパッチ・ファイル(xpdf-3.00pl2.patch)や,パッチを適用済みのバイナリ・ファイル(Xpdf バージョン 3.00pl2)が,Xpdfの「Download」ページから入手できる。今後,各ディストリビューション・ベンダーからも,アップデート用のパッケージが公開されるだろう。
また,iDEFENSEでは「信頼できる相手から入手したPDFファイル以外は開かない」ことも回避策として挙げている。
◎参考資料
◆Multiple Vendor xpdf PDF Viewer Buffer Overflow Vulnerability(米iDEFENSE)
◆xpdf "doImage()" Buffer Overflow Vulnerability(デンマークSecunia)
◆Xpdf:Download
(勝村 幸博=IT Pro)