米iDEFENSEは米国時間12月21日,PDF(Portable Document Format)ファイル閲覧ソフト「Xpdf」に見つかったセキュリティ・ホールを公表した。細工が施されたPDFファイルを読む込むだけで,悪質なプログラムを実行させられる可能性がある。対策はパッチを適用することなど。

 XpdfはオープンソースのPDFファイル閲覧ソフトであり,Linuxディストリビューションなどに含まれている。iDEFENSEによれば,今回のセキュリティ・ホールはXpdfのバージョン3.00で確認しているという。ただし,これ以前のバージョンにも同様のセキュリティ・ホールが存在するだろうとしている。

 iDEFENSEでは,以下のディストリビューションに,セキュリティ・ホールがあるXpdfが含まれていることを確認しているという。

  • SUSE Linux
  • Red Hat Linux
  • Fedora Core
  • Debian Linux
  • Gentoo Linux
  • FreeBSD (ports)
  • OpenBSD

 対策はパッチを適用すること。あるいはパッチを適用したバージョンにアップグレードすること。Xpdfバージョン3.00のソース・コードに適用するパッチ・ファイル(xpdf-3.00pl2.patch)や,パッチを適用済みのバイナリ・ファイル(Xpdf バージョン 3.00pl2)が,Xpdfの「Download」ページから入手できる。今後,各ディストリビューション・ベンダーからも,アップデート用のパッケージが公開されるだろう。

 また,iDEFENSEでは「信頼できる相手から入手したPDFファイル以外は開かない」ことも回避策として挙げている。

◎参考資料
Multiple Vendor xpdf PDF Viewer Buffer Overflow Vulnerability(米iDEFENSE)
xpdf "doImage()" Buffer Overflow Vulnerability(デンマークSecunia)
Xpdf:Download

(勝村 幸博=IT Pro)