米Adobe Systemsは米国時間4月1日,同社のPDF閲覧ソフト「Adobe Reader」および編集ソフト「Adobe Acrobat」に2種類のセキュリティ・ホールが見つかったことを明らかにした。例えば,細工が施されたPDFファイルを読み込むと,Adobe ReaderやAcrobatをハングアップさせられる。いずれについても,Windows版のバージョン7.0以前(7.0を含む)が影響を受ける。対策は,最新版の7.0.1にアップグレードすること。
今回見つかったセキュリティ・ホールは2種類。1つは,細工が施されたPDFファイルを読み込むと,Adobe ReaderやAcrobatがハングアップするというセキュリティ・ホール。
もう1つは,特定のファイルがパソコンに存在するかどうかを知られるセキュリティ・ホールである。このセキュリティ・ホールは,Adobe ReaderやAcrobatに含まれるActiveXコントロールに存在する。ユーザーがInternet Explorerを使って攻撃者のWebページにアクセスすると,セキュリティ・ホールがあるActiveXコントロールが呼び出され,特定ファイルの有無を攻撃者に知られてしまう。
ただし,攻撃者が分かるのは,攻撃者が指定したファイル(パスを含む)の有無だけ。そのファイルにアクセスできないことはもちろん,それ以外のファイルに関する情報を得ることなどもできない。
以上のように,今回見つかったいずれのセキュリティ・ホールを悪用しても,任意のプログラムを実行させるようなことは不可能。このためいずれについても,危険度は低いと考えられる。
対策は,セキュリティ・ホールを修正したバージョン7.0.1にアップグレードすること。同社のダウンロード・ページなどから入手できる。
◎参考資料
◆Advisory for invalid root page node count (Adobe Reader 7.0, Acrobat 7.0 on Windows) (米Adobe Systems)
◆Advisory for local file discovery through Internet Explorer (Adobe Reader 7.0, Acrobat 7.0 on Windows)
◆downloads
◆Vulnerability Issues with Adobe Reader(英NISCC,PDFファイル)
◆Adobe Acrobat / Reader DoS and Local File Discovery Vulnerabilities(仏FrSIRT)
(勝村 幸博=IT Pro)