アドビのPDF閲覧ソフトAdobe ReaderとAcrobatの未修整の脆弱性を突くトロイの木馬が見つかったとして、同社やセキュリティベンダー各社が注意を呼び掛けている。
各社の情報によると、PDFファイルに埋め込んだJBIG2画像の取り扱いに問題があり、バッファオーバーフローが発生。細工されたPDFを開くと、クラッシュしたりコード実行のおそれがある。今月13日頃から、当該脆弱性を突いてパソコンにバックドアを仕掛ける悪質なPDFが出回っており、アドビは現地時間19日、アドバイザリを公開し注意を呼びかけた。
同社によると、影響を受けるのはバージョン9およびそれ以前のバージョン。同社ではバージョン9のアップデートを3月11日に予定しており、バージョン8/7についても順次リリースする予定。ウイルス対策ソフトも順次対応を進めており、シマンテックは「Trojan.Pidief.E」、トレンドマイクロは「TROJ_PIDIEF.IN」、マカフィーは「Exploit-PDF.i」というウイルス名で検出する。
細工されたPDF内では、実行コードの配置にJavaScriptを使用しており、JavaScriptの無効化によって不正なコードが実行されるのを回避することができる。AdobeReaderの[編集]メニューの[環境設定]を実行し、分類項目の「JavaScript」を選択。「Acrobat JavaScriptを使用」のチェックボックスをクリアするとJavaScriptが無効になる。
(2009/02/23 ネットセキュリティニュース)
■APSA09-01 - Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat[英文](Adobe)
http://www.adobe.com/support/security/advisories/apsa09-01.html
■Adobe ReaderとAdobe AcrobatでのJBIG2画像ストリームによるリモートコード実行(インターネット セキュリティ システムズ)
http://www.isskk.co.jp/support/techinfo/general/adobe_319.html
■Targeted PDFs Used as Exploits[英文](Symantec)
https://forums.symantec.com/t5/Vulnerabilities-Exploits/Targeted-PDFs-Used-as-Exploits/ba-p/390681
■Portable Document Format or Portable Malware Format?[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/portable-document-format-or-portable-malware-format/■New BackDoor Attacks Using PDF Documents[英文](McAfee Avert Labs Blog)http://www.avertlabs.com/research/blog/index.php/2009/02/19/new-backdoor-attacks-using-pdf-documents/
【ウイルス情報】
・Trojan.Pidief.E(シマンテック)
http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-021212-5523-99
・TROJ_PIDIEF.IN(トレンドマイクロ)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_PIDIEF.IN・Exploit-PDF.i(マカフィー)
http://vil.nai.com/vil/content/v_153842.htm