ニュース
» 2010年07月05日 07時15分 UPDATE

「Adobeのパッチは不完全」――PDF悪用問題でセキュリティ企業が指摘

PDFの機能がコード実行に悪用されてしまう問題は、Adobeの最新パッチでも解決されていないとセキュリティ企業が指摘した。

[ITmedia]

 Adobeが6月29日付でリリースしたReaderとAcrobatの更新版をめぐり、ベトナムのセキュリティ企業Bkisが「PDF仕様の脆弱性を修正したとするAdobe Readerのパッチは不完全だ」とブログで指摘した。

 Adobeが公開したReaderとAcrobat最新版のバージョン9.3.3には、PDFの仕様である「/launch」機能の脆弱性を解決するパッチが含まれていた。この問題は3月に発覚したもので、任意のコード実行に利用される恐れがあるとされ、脆弱性を突いたマルウェアも多数出回っているという。

 Bkisのブログによると、同社は問題が解決されているかどうか検証するため、この脆弱性の存在を証明するコンセプト実証用のPDFファイルをAdobe Reader最新バージョンの9.3.3で実行するテストを行った。

 その結果、ファイルを開こうとすると警告メッセージが表示されて問題のPDFファイルは開くことができず、一見、パッチが機能しているように見えたという。

 ところが悪用コードに少し手を加えると、警告メッセージは表示されたものの実行は阻止されず、「Open」をクリックするとファイルが実行されてしまったという。

 この検証結果を受けてBkisは、警告メッセージが改ざんされてしまう問題はAdobe Reader 9.3.3で解決したが、悪用コード実行の問題はまだ未解決だと結論付けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -