ニュース
» 2010年04月01日 08時44分 UPDATE

PDFの機能を利用してコードが実行可能に 研究者が公表

PDFの脆弱性を突くのではなく、PDFの機能を使ってコードを実行できてしまう方法があるとブログで発表した。

[ITmedia]

 SANS Internet Storm Centerは3月31日、PDFの脆弱性を突くのではなく、PDFの機能を使ってコードを実行できてしまう方法を、同フォーマットに詳しい研究者がブログで公表したと伝えた。

 それによると、PDFには設計上、コードを実行できる機能が組み込まれていることから、この問題はさまざまなPDFリーダーに影響する。研究者はAdobeのPDFリーダーでこの機能を利用してコードを実行する様子を動画で解説している。

 Adobeのリーダーの場合、コードを実行しようとすると警告メッセージが表示されてユーザーの許可を求める。しかし攻撃者がこの警告メッセージの文言を改ざんできるという。さらに、Adobeの代替リーダーとして普及しているFoxitの場合、警告メッセージは表示されないという。

 現時点でコンセプト実証(PoC)コードは公開されていないが、この研究者のブログを引用してPDFの問題を伝えたセキュリティ企業のF-Secureはリスクを減らすための対策として、PDFファイルをWebからダウンロードする場合はローカルのマシンで直接ファイルを開くのではなく、Google Docsなどのビュワーを使ってリモートで開いた方がいいと助言している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -