セキュリティ情報サイト「SecurityFocus」は現地時間27日、PDF閲覧ソフト「Adobe Reader」の未修整の脆弱性2件を報告。これを受けてアドビシステムズは28日、当面の対策としてAdobe ReaderのJavaScriptを無効にする回避策を提示した。
今回見つかった2件の脆弱性は、いずれもAdobe ReaderがサポートするJavaScript内の問題。2つのファンクションの処理でメモリ破壊が起き、細工したPDFファイルを開くとクラッシュしたり任意のコードを実行される可能性がある。
影響を受けるのは、Adobe ReaderおよびAcrobatの全ての現行バージョン(9.1/8.1.4/7.1.1)およびそれ以前のバージョン。同社では現在、修正作業を進めており、アップデートのスケジュールが決まり次第、公表するとしている。
これら2件の脆弱性は、いずれも攻撃コードがインターネット上で公開されており、ユーザーはただちに同社が提示する回避策を実施することをお勧めする。JavaScriptの無効化は、Adobe Readerの「編集」メニューから「環境設定」を選び、表示画面の「分類」項目から「JavaScript」を選択。「Acrobat JavaScriptを使用」のチェックを外す。
(2009/05/01 ネットセキュリティニュース)
■Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性(JVN)
http://jvn.jp/cert/JVNVU970180/
■Potential Adobe Reader Issue(Adobe)
http://blogs.adobe.com/psirt/2009/04/potential_adobe_reader_issue.html
■Update on Adobe Reader Issue(Adobe)
http://blogs.adobe.com/psirt/2009/04/update_on_adobe_reader_issue.html
■Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability(SecurityFocus)
http://www.securityfocus.com/bid/34740
■Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability(SecurityFocus)
http://www.securityfocus.com/bid/34736