アドビシステムズは8日(米国時間)、「Adobe Reader/Acrobat」の新たな脆弱性が確認されたとして、アドバイザリを公開した。すでに、この未修正の脆弱性を悪用した攻撃が始まっているという。
対象となるのは、Adobe Reader(Windows、Macintosh、UNIX版)と、Acrobat(Windows、Macintosh版)の最新版である「9.3.4」と、それ以前のバージョン。
この脆弱性はフォントファイルの取り扱いに起因し、悪用された場合、スタックベースのバッファオーバーフローが発生し、クラッシュが引き起こされる。最悪の場合、細工されたPDFファイルを開いただけでコードが実行されるおそれがある。
細工されたPDFファイルはすでに出回っていることが確認されており、セキュリティベンダー各社はウイルス対策ソフトの対応を進めている。現在出回っているウイルスについては、Exploit-PDF.ps.gen(マカフィー)、TROJ_PIDIEF.WM(トレンドマイクロ)、Bloodhound.PDF!gen1(シマンテック)名で検出する。ただし、コードが変わって検出しなくなる可能性もあり、注意が必要だ。
Adobe Reader/Acrobatの次回の定例パッチは10月12日(米国時間)が予定されているが、このゼロデイ攻撃への緊急対応のため、同社は定例外アップデートを検討しているという。それまでの当面の対策として、信頼できないPDFファイルは開かないよう注意を呼びかけている。
細工されたPDFファイルは、Adobe ReaderのAcrobat JavaScriptを使って実行コードをメモリにロードしているので、Acrobat JavaScriptを無効にしておくと、クラッシュは回避できないが、コード実行は回避することができる。(方法は下記コラム参照)
(2010/09/10 ネットセキュリティニュース)
■APSA10-02 - Security Advisory for Adobe Reader and Acrobat(Adobe)
http://www.adobe.com/support/security/advisories/apsa10-02.html
■Adobe Reader 0-day vulnerability (CVE-2010-2883)(Websense)
http://community.websense.com/blogs/securitylabs/archive/2010/09/09/cve-2010-2883-critical-vulnerability-in-adobe-reader.aspx
■Adobe Reader / Acrobat Font Parsing Buffer Overflow Vulnerability(Secunia)
http://secunia.com/advisories/41340/
■Computer Security Research - McAfee Labs Blog(McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/index.php/2010/09/08/adobe-pdf-zero-day-exploit-discovered-in-the-wild/
■Security Advisory for Adobe Reader and Acrobat(Adobe PSIRT blog)
http://blogs.adobe.com/psirt/2010/09/security-advisory-for-adobe-reader-and-acrobat.html
■Adobe Acrobat-Reader 0-day in Wild, Adobe Issues Advisory(SANS Institute)
http://isc.sans.edu/diary.html?storyid=9523
【関連記事:コラム】
・ 初心者必見! 究極の感染対策「6つの約束」を実行しよう(2010年5月)