米Adobe Systemsは米国時間7月5日,同社のPDF(Portable Document Format)ファイル閲覧ソフト「Acrobat Reader」のUnix(AIX,Solaris,HP-UX)版およびLinux版にバッファ・オーバーフローのセキュリティ・ホールが見つかったことを明らかにした。細工が施されたPDFファイルを開くと,中に仕込まれた悪質なプログラムを実行させられる可能性がある。影響を受けるのはバージョン5.0.9および5.0.10。対策は,バージョン5.0.11あるいは7.0にバージョンアップすること。Windows版については,バージョンにかかわらず今回のセキュリティ・ホールの影響を受けない。
今回のセキュリティ・ホールを発見した米iDEFENSEの情報によれば,バージョン5.0.9/5.0.10のUnix/Linux版Acrobat Readerに含まれる関数「UnixAppOpenFilePerform()」に不具合が存在するという。具体的には,スタック・バッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたPDFファイルを開くとバッファ・オーバーフローが発生し,ファイルに仕込まれた任意のプログラム(コード)を実行させられる可能性がある。
Acrobat Readerをインストールしている環境では,PDFファイル(.pdf)はAcrobat Readerに関連付けられていることがほとんどなので,細工が施されたPDFファイルへのWebページ/HTMLメール中のリンクをクリックするだけでも被害に遭う恐れがある。
対策は,セキュリティを修正した最新版にバージョンアップすること。最新版は同社のダウンロード・ページから入手できる。LinuxおよびSolaris版についてはバージョン7.0に,AIXおよびHP-UX版についてはバージョン5.0.11にバージョンアップする。
iDEFENSEでは,「こういった攻撃(細工を施したPDFファイルを使ってセキュリティ・ホールを突く攻撃)に対する最も効果的な防御法は,ユーザーが(こういった攻撃があることを)認識すること」だとしている。実行形式ファイル(.exe)は安易に開かないユーザーでも,PDFファイルについては入手元が信頼できなくても開いてしまうことが少なくない。PDFファイルや画像ファイルのように一見危なくないように思える種類のファイルでも,ソフトウエアにセキュリティ・ホールが存在する場合には被害に遭う可能性がある(関連記事)。入手元が信頼できないファイルについては,ファイル種類にかかわらず開くべきではない。
◎参考資料
◆Security Advisory: Buffer overflow vulnerability in Adobe Reader (Linux, Solaris, HP-UX, IBM-AIX) (米Adobe Systems)
◆Adobe Readerのダウンロード(アドビシステムズ)
◆Adobe Acrobat Reader UnixAppOpenFilePerform() Buffer Overflow Vulnerability(米iDEFENSE)
(勝村 幸博=IT Pro)
