アドビ、「Adobe Acrobat」および「Adobe Reader」の脆弱性を修正

　Adobe SystemsがMicrosoftの月例パッチにならって、同社製PDFリーダソフトウェアが持つセキュリティ上の脆弱性2件を修正するパッチを公開した。

　Adobeは2件のセキュリティ勧告を公開し、Windows版およびMac OS版の「Adobe Acrobat」と「Adobe Reader」に脆弱性があることを明らかにした。パッチを適用しない場合、同脆弱性が原因でサイバー攻撃を受ける危険が発生するという。

　Adobeがパッチを公開した同日、Microsoftは「Windows」と「Office」が持つ18件の脆弱性を修正する7件のセキュリティ情報を公開している。これらのなかには、危険なWindowsワームを呼び込むセキュリティホールだとセキュリティ専門家が見なす脆弱性も含まれていた。

　Adobeが明らかにした2件の脆弱性のうち、深刻なのは「バッファオーバーフロー」の脆弱性で、WindowsとMac OSに対応したAdobe Acrobatの6.0.4以前のバージョンに影響する、とAdobeは語っている。同社はこれを「緊急」アップデートに分類し、バージョン6.0.5へのアップデートをユーザーに推奨している。

　攻撃者は、悪意のあるPDFファイルを作成することで、この脆弱性を悪用できるようになる。このようなPDFファイルを開いた場合、脆弱なPCでは完全に制御が奪われる、または、Acrobatがクラッシュする可能性がある。

　バッファオーバーフローは頻繁に悪用されるセキュリティの問題で、メモリ内に割り当てられたバッファの領域を越えてプログラムがデータの書き込みを許可することで発生する。バッファをあふれさせる目的で余分なデータを流せば、潜在的に悪質なコードをコンピュータで実行できてしまう。

　Adobeが対処した2番目の脆弱性は、バージョン6.0.4以前のAdobe ReaderおよびAdobe AcrobatのMac OS版のみに影響がある。Adobeのセキュリティ警告によると、同アプリケーションに対するファイルとフォルダの権限に不備があり、特権のないユーザーがMac OS上で重要なプログラムファイルを変更できてしまうという。

　Adobeは、「このような状況でリスクが生じるのは、共有マルチユーザーシステムだ。このようなシステムでは、特権を持たない敵意のあるユーザーが状況を悪用し、悪質な、もしくは危害を加えるようなファイルと、これらのプログラムファイルとを交換できるようになる。そして、権限のあるユーザーが交換されたファイルを実行することで、機密性の高いデータの読み書きもしくは破壊が可能になる」と述べている。

　Adobeでは、アプリケーション内蔵の自動アップデート機能を使ってバージョン6.0.5をインストールするか、これをAdobeのウェブサイトからダウンロードしてインストールするよう推奨している。