アドビ、Adobe ReaderとAdobe Acrobatのゼロデイ脆弱性を修正するパッチを公開

文:Matthew Broersma(ZDNet.co.uk) 翻訳校正:編集部2009年05月14日 11時34分

 Adobe Systemsは「Adobe Reader」と「Adobe Acrobat」に存在する、JavaScriptの重大な脆弱性を悪用するコードがインターネットでリリースされていることを受けて、それに対応するパッチを公開した。なお、この脆弱性はWindowsやMac、Linux、UNIXに影響を及ぼすものである。

 同社は約束通り、米国時間5月12日にこの脆弱性に対応するパッチをセキュリティアドバイザリとして公開した。なおこのパッチは、UNIXにのみ影響を及ぼす2つ目の脆弱性にも対応している。セキュリティ会社のSecuniaはこれらの脆弱性を(5段階評価で2番目に深刻度の高い)「極めて深刻(highly critical)」と分類している。

 Adobeはこれらの脆弱性を突く実証コードが出回っているということを4月27日に認めた。このコードが最初にリリースされたのは、LinuxのセキュリティサイトであるPacket Stormであった。

 しかし、Adobeの12日付けのブログ投稿によると、同実証コードを悪用した攻撃の存在は確認されていないという。

 Adobeが同社のアドバイザリとして述べたところによると、いずれの脆弱性も、細工が施されたPDFファイルを介して、該当アプリケーションをクラッシュさせたり、ユーザーのシステムを乗っ取るために悪用されるおそれがあるという。

 Adobeによると、さまざまなプラットフォームに影響する1つ目の脆弱性は、Adobe ReaderとAdobe AcrobatがJavaScriptの「getAnnots()」メソッドを呼び出した際の処理に関するものであり、メモリ破壊を引き起こすために利用されるおそれがあるという。

 また、UNIXのみに影響する2つ目の脆弱性は、JavaScriptの「customDictionaryOpen()」メソッドを呼び出した際の処理に関するものである。

 Adobeによると、これらの脆弱性は「Adobe Reader 9.1」と「Adobe Acrobat 9.1」、およびそれ以前のバージョンに存在しているという。同社はAdobe ReaderとAdobe Acrobatのバージョン9.1.1と8.1.5、7.1.2でこれらの脆弱性に対応している。これらのパッチは同社のセキュリティ速報のページでダウンロードすることができる。

 Adobeは、パッチをダウンロードすることができないユーザーに対して、影響のあるアプリケーションのJavaScriptを無効化することを推奨している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]