Core Security、「Adobe Reader」の脆弱性を報告--アドビは修正パッチを公開

　Core Security Technologiesによると、「Adobe Reader」に重大なセキュリティホールがあり、これにより攻撃者はコンピュータを乗っ取ることが可能になるかもしれないという。

　Core Security Technologiesは米国時間11月4日に発表した声明の中で、この脆弱性の影響を受けるのはバージョン8.1.2のAdobe Readerだと述べた。同社の発表は、Adobe Systemsが同日に予定していた、この脆弱性を修正するセキュリティアップデートのリリースに合わせて行われた。

　このセキュリティ情報は11月4日早朝に掲載された。「これらの問題が実際に悪用されたという報告は寄せられていない」と、Adobeはセキュリティブログへの投稿に書いている。

　Core Securityによると、攻撃者は悪意あるコードを含むJavaScriptをPDFファイルに埋め込み、ウェブサイトや電子メールを通じてこのコードを広める可能性があるという。ファイルが開かれると、このコードはプログラムのメモリ割り当てのパターンを操作し、脆弱性を突いてユーザー権限で任意のコードを実行できるようになる。

　CoreLabsの研究員であるDamian Frizza氏は2008年5月、「Foxit Reader」という別のPDFビューワーについて同様の脆弱性を調査していた際に、この脆弱性を発見した。Core Securityは直ちに、この新しいセキュリティホールをAdobeに報告した。

　デスクトップ向けソフトウェアの複雑化により、アプリケーションがソフトウェアの実装に起因するバグを含む可能性が高まっている、とCore Securityの最高技術責任者（CTO）を務めるIvan Arce氏は指摘する。

　「われわれはこれまで、旧バージョンのAdobeソフトウェアや他のアプリケーションのJavaScriptエンジンに同様の脆弱性を見てきた。実装に起因するこうしたバグを避けるのは難しい」（Arce氏）

　Adobe ReaderとFoxit Readerの両方のPDFリーダーに同じバグが存在するということは、ベンダーごとに製品に異なる技術やコードを用いていても、競合するソフトウェアに脆弱性が発見された場合には自社のアプリケーションにも同様のバグがないか確認すべきであることを示している、とArce氏は述べた。