ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Adobe Readerなどに脆弱性、Web経由で攻撃コード実行の恐れ

» 2006年09月20日 10時44分 公開
[ITmedia]

 PDF形式の文書を読み込む「Adobe Reader」や文書作成ソフトの「Adobe Acrobat Professional」などに、Webブラウザを組み合わせて攻撃可能な複数の脆弱性が存在することが報告された。すでに実証コード(Proof of Concept)も公にされている。

 これらの脆弱性が悪用されれば、細工が施されたPDFファイルへのリンクをクリックしたり、ダウンロードするだけで、攻撃コードが実行される恐れがある。Webブラウザ経由でPDFファイルを開くにもかかわらず、ユーザーに警告が表示されることなくコードが起動されるため注意が必要だという。

 問題の発見者は、脆弱性はPDFのAPIやアーキテクチャに起因するものだと主張。パッチをすべて適用したAcrobat ReaderおよびAdobe Acrobat Professionalで実証コードの動作を確認したという。

 SANS ISCの情報によると、これらの脆弱性は特定のプラットフォームに依存するものではない。また今のところ、Adobe側から脆弱性を修正する公式なパッチはリリースされていない。

 実証コードが公開された一方でパッチが存在しないことから、危険性は高いと言える。出元の信用できないPDFファイルを不用意に(特にWebブラウザ経由で)開かないよう注意が必要だ。

Copyright © ITmedia, Inc. All Rights Reserved.