米アドビシステムズは5日、PDF閲覧ソフト「Adobe Reader」などのダウンロードやインストール時に使用する「Adobe Download Manager」に深刻な脆弱性があるとして、アドバイザリを公開した。
同脆弱性は、不正なAOMファイルの処理でスタックベースのバッファオーバーフローが発生するもの。ユーザーが電子メールやウェブサイトを介して悪意のあるファイルを開くとリモートで任意のコードを実行され、第三者にシステムをコントロールされるおそれがある。
対象となるのは、WindowsまたはMachintosh上で動作する「Adobe Download Manager」の2.1以前のバージョン。5日現在、配布されているソフトが使用しているのは「Adobe Download Manager 2.2」で、同脆弱性の影響はない。
アドビでは回避策として対象となるバージョンの「Adobe Download Manager」のアンインストールをあげている。「Adobe Reader」のアップデート機能を利用すれば、問題のある「Adobe Download Manager」をアンインストールできる。手順は以下の通り。
1)「Adobe Reader」を起動
2)[ヘルプ]→[アップデートの有無を今すぐチェック](あるいは「更新」)
3)「*重大なセキュリティ警告 - ソフトウェア削除ツール」があれば選択してアップデートする。
さらにアドビは6日から、「Adobe Reader 8」の日本語版を公開した。同バージョンはアドビが11月28日にセキュリティアドバイザリを公開した脆弱性の影響を受けない。アドビでは「Adobe Reader 7.0~7.0.8」のユーザーに対し、「Adobe Reader 8」へのアップデートを呼びかけている。
(2006/12/08 ネットセキュリティニュース)
■脆弱性情報
・Update available for buffer overflow in Adobe Download Manager[英文](アドビ)
http://www.adobe.com/support/security/bulletins/apsb06-19.html
・Adobe Download Manager AOM Buffer Overflow Vulnerability[英文](Secunia)
http://secunia.com/advisories/23233/
・Adobe Download Manager AOM File Handling Remote Buffer Overflow Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/4867
・Adobe Download Manager AOM Buffer Overflow Vulnerability[英文](SecurityFocus)
http://www.securityfocus.com/bid/21453
・Adobe Download Manager AOM Stack Buffer Overflow Vulnerability[英文](eEye)
http://research.eeye.com/html/advisories/published/AD20061205.html
■「Adobe Reader 8」ダウンロードページv
・Adobe Readerのダウンロード(アドビ)
http://www.adobe.com/jp/products/acrobat/readstep2.html
【関連記事:ネットセキュリティニュース】
・「Adobe Reader7.0」に深刻な脆弱性~コード実行の恐れ(2006/11/30)