ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Adobe Readerプラグインに複数の脆弱性

» 2007年01月05日 09時33分 公開
[ITmedia]

 仏セキュリティ機関FrSIRTは1月3日、Adobe Readerに影響する3件の脆弱性を発見したと報告した。

 攻撃者がこれらを悪用すると、任意のスクリプティングコードを実行して、機能停止状態を引き起こしたり、あるいはシステムを乗っ取ることができてしまう恐れがある。危険度は最も高い「Critical」とされている。

 1つ目は、Adobe Readerのブラウザプラグインが特定のパラメータ(FDF、XML、XFDFなど)に渡される引数を処理する際に、入力確認エラーが起きることによるクロスサイトスクリプティングの脆弱性。

 2つ目の脆弱性は、プラグインがPDF文書に渡される不正な形式のパラメータを処理する際にダブルフリーエラーが起きることが原因。攻撃者がこれを悪用すると、ユーザーにFirefoxを使って特殊な細工を施したURLにアクセスさせることで、脆弱なブラウザをクラッシュさせたり、任意のコードを実行できてしまうという。

 3つ目は、プラグインがInternet Explorer経由でPDF URLに付加された過度に長いハッシュ文字列を処理する際にエラーが起きることが原因。攻撃者がこれを悪用すると、メモリリソースを使い尽くして停止状態を引き起こせるという。

 これらの問題の影響を受けるのはAdobe Readerのバージョン7.0.8以前。FrSIRTは解決策として、バージョン8.0.0へのアップグレードを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.