Acrobatにバッファオーバーフローの脆弱性

セキュリティ企業のiDEFENSEは、米AdobeのPDF閲覧ソフト「Acrobat Reader」にバッファオーバーフローの脆弱性があると発表した。バージョン6.0.2で修正されたようだが、実証コードを試したところクラッシュしたとの報告もある。

[ITmedia]

　セキュリティ企業のiDEFENSEは8月13日、米Adobe SystemsのPDF閲覧ソフト「Acrobat Reader」と編集ソフトの「Acrobat」にバッファオーバーフローの脆弱性が存在するとし、警告を発した。これを受けて16日、Secuniaもアドバイザリを公表し、2番目に高い危険度の「Highly Critical」としている。

　この問題の影響を受けるのはWindows版の「Adobe Acrobat Reader 5.x」と「Adobe Reader 6.x」のほか、Adobe Acrobat。これらソフトウェアに含まれるActive Xコンポーネント「pdf.ocx」に問題があり、細工されたURLを含んだWebページを読み込むと、バッファオーバーフローが引き起こされ、場合によっては仕込まれたコードを実行してしまう可能性がある。

　しかもこの問題は、悪意あるWebサイトに誘導されて明示的にリンクをクリックした場合に引き起こされるだけではない。IMAGE／IFRAMEタグや自動読み込みスクリプトを併用されると、ユーザーの意図に反して自動的に実行される可能性もあるという。

　Adobe側では、先日リリースされたAcrobat Reader 6.0.2で既にこの問題は修正されていると宣言したそうだが、問題を指摘したiDEFENSEのアドバイザリによると、バージョン6.0.2で脆弱性実証コードを試したところ、クラッシュしたと報告されている。iDEFENSEはまた、Adobeは脆弱性および修正状態についての詳細を公開していないだけでなく、修正されていないバージョンを使い続けることの危険性をユーザーに知らせてもいないと指摘している。

　問題を回避するには、Adobe Acrobat Reader／Adobe Readerの設定を変更して、Webブラウザから自動的にPDFファイルを開かないようにする。