Adobe SystemsのVersion Cueソフトに2件の脆弱性が新たに発見された。セキュリティコンサルティング会社iDefenseによれば、2週間足らずでAdobeソフトに3件の脆弱性が見つかったことになる。
iDefenseのiDefense Labsディレクター、マイケル・サットン氏によると、今回の脆弱性では2件とも、ローカルの攻撃者がVersion Cueを通じてマシンのルート権限を取得できてしまう。Version Cueは、Adobe Creative Suiteのファイルバージョン管理ツール。
このうち「ライブラリローディングの脆弱性」では、攻撃者がVersion CueのルートアプリケーションであるVCNativeのコマンドラインからメソッドを実行することで、カスタムライブラリをロードできてしまう可能性があると、iDefense Labsの上級セキュリティエンジニア、リッチ・ジョンソン氏は説明。このやり方で、システムを完全に制御されてルート権限を取得され、悪質なコードを導入されてしまう恐れがある。
Version Cueを通じてルート権限を取得するもう1つのやり方として、ルートアプリケーションのVCNativeが起動する際に作成されるログファイルを悪用することが可能だと同氏。ログファイルでは常に同じ呼び方をされるため、誰かが「それが何と呼ばれるかを知っていれば、そこにファイルを置いて、そのファイルを任意の場所にリダイレクトすることが可能になり、これを特別のシステムファイルに置き換えてしまうことができる」とジョンソン氏は解説する。
この脆弱性はCreative Suite 2の最も最近のバージョンに影響すると報告されているが、Adobeの広報は8月30日の取材に対し、それは事実ではないと語った。脆弱性の影響を受けるのは2003年8月にリリースされた従来版のCreative Suiteのみだと、AdobeのVersion Cue担当上級製品マネジャー、ボブ・シャフェル氏は話している。
同氏によれば、Adobeは両方の脆弱性についてパッチを提供済みで、同社サイトからダウンロード提供している。
Copyright(C) IDG Japan, Inc. All Rights Reserved.
Special
PR