米アドビシステムズは28日(現地時間、以下同)、「Adobe Reader」と「Acrobat」にコード実行の恐れのある危険な脆弱性が見つかったとしてセキュリティアドバイザリを公開した。影響するのは、Windows版の「Adobe Reader」および「Acrobat Standard/Professional」の7.0.0~7.0.8。同社は、修正版の準備を進めており近日中に公開するとしている。
今回見つかった脆弱性は、PDFファイルをInternet Explorer(IE)上で表示するためのActiveXコントロール(AcroPDF.dll)の複数のメソッドが引数を適切に処理できず、メモリ破壊が起こるというもの。今月17日、問題のメソッドのひとつを使い、Internet Explorerをクラッシュさせる実証コードがインターネット上で公開されたが、悪用するとコードを実行される可能性がある。
同社や仏FrSIRTは、同脆弱性を最高ランクの危険度で警告。当面の回避策として「AcroPDF.dll」の削除をあげている。アドバイザリでは、当該ファイルを直接削除する方法を示しているが、編集部では一般ユーザー向けに以下の方法をお薦めする。
1)IEを全て終了しAdobe Readerを起動
2)[編集]メニューの[環境設定]を実行
3)[分類]リストから[インターネット]を選択
4)[Webブラウザオプション]の[PDFをブラウザに表示]のチェックボックスを外し無効にする
5)「OK」ボタンを押す
以上で、ActiveXコントロールを含むブラウザ表示機能がアンインストールされ、AcroPDF.dllも削除される。以後、IE上でPDFファイルをクリックすると、Adobe Readerが起動してPDFファイルを表示するようになる。
[PDFをブラウザに表示]を有効にすれば、再びActiveXコントロールがインストールされ、IE内で表示するようになる。
(2006/11/30 ネットセキュリティニュース)
■Potential vulnerabilities in Adobe Reader and Acrobat[英文](アドビ)
http://www.adobe.com/support/security/advisories/apsa06-02.html
■Adobe Reader and Acrobat ActiveX Control Remote Code Execution Vulnerabilities[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/4751