最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆迷惑メール:出会い系業者「スパイラルネット」に措置命令、相談通報7900通(2010/04/09) | メイン | ◆【ゼロデイ攻撃】一太郎に脆弱性、すでに悪用も~早急に更新モジュール適用を(2010/04/13) »

2010/04/12

◆Adobe Reader「深刻な危険」~早急に設定変更を。14日にはパッチ公開(2010/04/12)

 PDF閲覧ソフトAdobe Readerを提供している米Adobe Systemsは現地時間6日、専門家・機関に指摘されていた PDFの深刻なセキュリティ問題を回避する対応策を公開した。
 この問題は、セキュリティ研究者のDidler Stevens氏が3月29日に公表し、セキュリティ関連機関やベンダーが注意を呼びかけていたもの。

 PDFでは、外部のアプリケーションを実行したり、ドキュメントを開いたり、印刷したりするための「Launch Action」がサポートされているが、同氏は、この機能を使うと任意のコマンド(関連付けられたファイルも含む)が実行でき、任意のコードが実行されるおそれがあることを指摘した。細工されたPDFファイルを閲覧すると、ウイルスなど悪意のあるプログラムが実行される可能性があるのだ。たとえば Foxit Readerでは、細工された PDFファイルを開くと、何の警告もなしに任意のコマンドが実行されてしまう仕様だったため、1日、警告画面を出すように修正したバージョン「3.2.1.0401」が公開されている。

 Adobe Readerでは、「Launch Action」を使って外部アプリケーションを開こうとすると、警告画面が表示される。ここでユーザーが「開く」ボタンを押さない限り外部アプリケーションが起動することはないが、Didler Stevens氏によると、この警告画面の一部は書き変えが可能。このため、偽の表示にだまされたユーザーが「開く」を選択してしまうおそれがある。

 この問題への対応策として、米Adobe Systemsは、以下のようにAdobe Readerの設定を変更することをすすめている。設定を変更すると、PDFファイルから外部アプリケーションを開けなくなり、警告画面でも「開く」ボタンが表示されなくなる。早急に変更するようおすすめする。

【外部アプリを開けなくするための設定変更方法】
 (1) Adobe Readerを起動する。
 (2) 上部の「編集」をクリック。
 (3) 開いたメニューの中にある「環境設定」をクリック。
 (4) 左側に表示された項目の中から「信頼性管理マネージャ」をクリック。
 (5) 上部にある「外部アプリケーションでPDF以外の添付ファイルを開くことを許可」のチェックを外す。
 (6) 「OK」を押す。

 また、セキュリティベンダーのESETでは、Adobe Readerを安全に使うためとして、「マルチメディア操作」についても、デフォルトの「常に許可」から「確認する」へ変更するようすすめている。設定を変更する方法は以下の通り。

【「マルチメディア操作」の設定変更方法】
 (1) Adobe Readerを起動する。
 (2) 上部の「編集」をクリック。
 (3) 開いたメニューの中にある「環境設定」をクリック。
 (4) 左側に表示された項目の中から「マルチメディアの信頼性(従来形式)」を選択。
 (5) 「選択したマルチメディアプレーヤーを実行する権限」が「常に許可」になっているので、「確認する」に変更する。
 (6) 「OK」を押す。

 なお、Adobe Readerをめぐっては14日に、深刻な脆弱性に対応するセキュリティアップデートが公開される予定となっている。アップデートの対象は「9.3.2」と「8.2.2」。
 このアップデートを適用すると、自動更新機能が使えるようになる。同機能を利用すると、インストールまで自動で行うことも可能。ダウンロードのみ自動で行い、あとでインストールを行うこともできる。

(2010/04/12 ネットセキュリティニュース)

■ PDF "/Launch" Social Engineering Attack[英文](Adobe Reader Blog)
http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html
■Escape From PDF[英文](Didier Stevens)
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
■Update: Escape From PDF[英文](Didier Stevens)
http://blog.didierstevens.com/2010/04/06/update-escape-from-pdf/
■Foxit Reader に任意のコード実行が可能な脆弱性(JVN)
http://jvn.jp/cert/JVNVU570177/index.html
■Keeping Adobe Reader and Acrobat Safe[英文](ESET Threat Blog)
http://www.eset.com/blog/2010/04/07/keeping-adobe-reader-and-acrobat-safe
<Adobe Readerのアップデート情報>
■Upcoming Adobe Reader and Acrobat 9.3.2 and 8.2.2 to be Delivered by New Updater [英文](Adobe Reader Blog)
http://blogs.adobe.com/adobereader/2010/04/upcoming_adobe_reader_and_acro.html
■Security Advisory for Adobe Reader and Acrobat[英文](Adobe)
http://www.adobe.com/support/security/bulletins/apsb10-09.html

投稿情報: 09:36 |

|