Adobe Acrobatの深刻な脆弱性、10月中めどにパッチ公開

[ITmedia]

　Adobe ReaderとAcrobatのゼロデイの脆弱性情報が公開された問題で、米Adobe Systemsが脆弱性の存在を認め、アドバイザリーを公開した。一方、この問題はWindowsに起因するとの見方もある。

　Adobeの10月5日付のアドバイザリーによると、脆弱性が存在するのはAdobe Reader／Acrobat 8.1とそれ以前のバージョン、およびAdobe Acrobat 3D。Internet Explorer（IE）7をインストールしたWindows XPが影響を受ける。

　回避策としては、Windowsレジストリのアプリケーションオプションを変更し、AcrobatとAdobe Readerの「mailto:」オプションを無効にする方法があるとしている。ただし、レジストリの編集に関してAdobeはサポートを提供しないと断っている。

　Adobeはこの問題を修正するためのアップデートを開発中で、10月中には公開できる見通しだという。それまでの間、正体不明のメールで添付ファイルを開いたりリンクのクリックを促された場合、注意するようユーザーに呼びかけている。

　一方、セキュリティ企業のSecuniaはこれと同じ問題について、「IE 7に関する未パッチの脆弱性」と分析している。7月26日に出したアドバイザリーの内容を8日付で改定し、Adobe Reader／Acrobatに関する情報を追加した。

　Secuniaによれば、この脆弱性はWindowsがURIを処理する際の入力認証エラーに原因があるという。Firefox、Netscape Navigator、mIRCを使っているシステムに加え、Adobe Reader／Acrobat 8.1も影響を受けると指摘。細工を施したPDFファイルを開くことで悪用される可能性があるとしている。

　Secuniaのリスク評価は5段階で上から2番目に高い「Highly critical」となっている。