仏セキュリティ機関FrSIRTは1月3日、Adobe Readerに影響する3件の脆弱性を発見したと報告した。
攻撃者がこれらを悪用すると、任意のスクリプティングコードを実行して、機能停止状態を引き起こしたり、あるいはシステムを乗っ取ることができてしまう恐れがある。危険度は最も高い「Critical」とされている。
1つ目は、Adobe Readerのブラウザプラグインが特定のパラメータ(FDF、XML、XFDFなど)に渡される引数を処理する際に、入力確認エラーが起きることによるクロスサイトスクリプティングの脆弱性。
2つ目の脆弱性は、プラグインがPDF文書に渡される不正な形式のパラメータを処理する際にダブルフリーエラーが起きることが原因。攻撃者がこれを悪用すると、ユーザーにFirefoxを使って特殊な細工を施したURLにアクセスさせることで、脆弱なブラウザをクラッシュさせたり、任意のコードを実行できてしまうという。
3つ目は、プラグインがInternet Explorer経由でPDF URLに付加された過度に長いハッシュ文字列を処理する際にエラーが起きることが原因。攻撃者がこれを悪用すると、メモリリソースを使い尽くして停止状態を引き起こせるという。
これらの問題の影響を受けるのはAdobe Readerのバージョン7.0.8以前。FrSIRTは解決策として、バージョン8.0.0へのアップグレードを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.