PDF閲覧ソフトAdobe ReaderおよびAcrobatに未修整の深刻な脆弱性が見つかった問題で、アドビシステムズは米国時間1日、アップデートスケジュールを公表。米国時間5月12日に、修正版の公開を予定していることを明らかにした。
同日公開を予定しているのは、Windows版の「Adobe Reader 9/8/7」「Acrobat 9/8/7」、Macintosh版の「Adobe Reader 9/8」「Acrobat 9/8」、Unix版の「Adobe Reader 9/8」。Adobe Readerの最新版は、同社のサイトや同ソフトの「ヘルプ」から「アップデートの有無をチェック」を実行すると入手できる予定。
現在問題となっているのは、Adobe ReaderがサポートするJavaScriptの処理でメモリ破壊が起きる問題2件。「getAnnots()」に不正な引数を渡したり、「customDictionaryOpen()」に長い文字列を渡すと、クラッシュしたりコードが実行されるおそれがある。1日付の同社アドバイザリによると、「getAnnots()」の問題はすべての環境で、「customDictionaryOpen()」の問題はUnix版のみに影響するという。
細工したPDFファイルを使って悪質なプログラムをインストールする攻撃は、一連の正規サイト改ざんでも用いられている。これまでのところ、これら2件の脆弱性が悪用されたという報告はないが、いずれも攻撃コードがインターネット上で公開されており、予断を許さない。修正版が提供されるまでの間は、Adobe ReaderのJavaScriptを無効にし、これらを悪用した攻撃から回避できるようにしておくことをお勧めする。
JavaScriptの無効化は、Adobe Readerの「編集」メニューから「環境設定」を選び、表示画面の「分類」項目から「JavaScript」を選択。「Acrobat JavaScriptを使用」のチェックを外す。
(2009/05/07 ネットセキュリティニュース)
■Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性(JVN)
http://jvn.jp/cert/JVNVU970180/
■APSA09-02 : Buffer overflow issues in Adobe Reader and Acrobat(Adobe)
http://www.adobe.com/support/security/advisories/apsa09-02.html