米アドビシステムズは4日(現地時間、以下同)、「Adobe Reader」にコード実行の恐れのある危険な脆弱性が見つかったとしてセキュリティアドバイザリを公開した。影響するのは、Adobe Readerのバージョン7.0.8以前。すでに実証コードも公開されており、セキュリティベンダー各社も同脆弱性について警告している。
新たに見つかった脆弱性は、PDFファイルをブラウザ上で表示するためのプラグインに関する5件で、いずれもURLの「#」に続けて記述し、PDFファイルを開く際の動作を指定するパラメータの処理に関するもの。悪用されると意図しないサイトにアクセスするCSRF(Cross Site Request Forgeries)や、スクリプトが実行されるXSS(Cross Site Scripting)、メモリの二重解放によるクラッシュやコード実行の恐れなどがある。
これらの脆弱性はAdobe Reader 8には影響しないため、早期にバージョンアップすることをお勧めする。アドビではこれらの脆弱性に対応した7.0.9の準備も進めている。
(2007/01/09 ネットセキュリティニュース)
■Adobe - Cross-site scripting vulnerability in versions 7.0.8 and earlier of Adobe Reader and Acrobat[英文](アドビ)
http://www.adobe.com/support/security/advisories/apsa07-01.html
■Adobe Acrobat XSS Vulnerability[英文](Websense)
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=719
■Adobe Acrobat Reader Plugin - Multiple Vulnerabilities[英文](WIse SECurity)
http://www.wisec.it/vulns.php?page=9
■VU#815960:Adobe Acrobat Plug-In cross domain violation[英文](US-CERT)
http://www.kb.cert.org/vuls/id/815960
■When PDFs Attack![英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/01/when_pdfs_attack.html
■PDF XSS vulnerability announced at CCC, (Wed, Jan 3rd)[英文](SANS Institute)
http://isc.sans.org/diary.php?storyid=1999
■Adobe Reader / Acrobat Multiple Vulnerabilities[英文](Secunia)
http://secunia.com/advisories/23483/
■Adobe Acrobat Reader Plugin Cross Site Scripting and Command Execution Vulnerabilities[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/0032