アドビ、Adobe ReaderとAdobe Acrobatのゼロデイ脆弱性を修正するパッチを公開

文:Matthew Broersma(ZDNet.co.uk) 翻訳校正:編集部2009年05月14日 11時34分
  • このエントリーをはてなブックマークに追加

 Adobe Systemsは「Adobe Reader」と「Adobe Acrobat」に存在する、JavaScriptの重大な脆弱性を悪用するコードがインターネットでリリースされていることを受けて、それに対応するパッチを公開した。なお、この脆弱性はWindowsやMac、Linux、UNIXに影響を及ぼすものである。

 同社は約束通り、米国時間5月12日にこの脆弱性に対応するパッチをセキュリティアドバイザリとして公開した。なおこのパッチは、UNIXにのみ影響を及ぼす2つ目の脆弱性にも対応している。セキュリティ会社のSecuniaはこれらの脆弱性を(5段階評価で2番目に深刻度の高い)「極めて深刻(highly critical)」と分類している。

 Adobeはこれらの脆弱性を突く実証コードが出回っているということを4月27日に認めた。このコードが最初にリリースされたのは、LinuxのセキュリティサイトであるPacket Stormであった。

 しかし、Adobeの12日付けのブログ投稿によると、同実証コードを悪用した攻撃の存在は確認されていないという。

 Adobeが同社のアドバイザリとして述べたところによると、いずれの脆弱性も、細工が施されたPDFファイルを介して、該当アプリケーションをクラッシュさせたり、ユーザーのシステムを乗っ取るために悪用されるおそれがあるという。

 Adobeによると、さまざまなプラットフォームに影響する1つ目の脆弱性は、Adobe ReaderとAdobe AcrobatがJavaScriptの「getAnnots()」メソッドを呼び出した際の処理に関するものであり、メモリ破壊を引き起こすために利用されるおそれがあるという。

 また、UNIXのみに影響する2つ目の脆弱性は、JavaScriptの「customDictionaryOpen()」メソッドを呼び出した際の処理に関するものである。

 Adobeによると、これらの脆弱性は「Adobe Reader 9.1」と「Adobe Acrobat 9.1」、およびそれ以前のバージョンに存在しているという。同社はAdobe ReaderとAdobe Acrobatのバージョン9.1.1と8.1.5、7.1.2でこれらの脆弱性に対応している。これらのパッチは同社のセキュリティ速報のページでダウンロードすることができる。

 Adobeは、パッチをダウンロードすることができないユーザーに対して、影響のあるアプリケーションのJavaScriptを無効化することを推奨している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加