Core Security、「Adobe Reader」の脆弱性を報告--アドビは修正パッチを公開

文:Elinor Mills(CNET News.com) 翻訳校正:矢倉美登里、高森郁哉 2008年11月05日 10時32分

  • このエントリーをはてなブックマークに追加

 Core Security Technologiesによると、「Adobe Reader」に重大なセキュリティホールがあり、これにより攻撃者はコンピュータを乗っ取ることが可能になるかもしれないという。

 Core Security Technologiesは米国時間11月4日に発表した声明の中で、この脆弱性の影響を受けるのはバージョン8.1.2のAdobe Readerだと述べた。同社の発表は、Adobe Systemsが同日に予定していた、この脆弱性を修正するセキュリティアップデートのリリースに合わせて行われた。

 このセキュリティ情報は11月4日早朝に掲載された。「これらの問題が実際に悪用されたという報告は寄せられていない」と、Adobeはセキュリティブログへの投稿に書いている。

 Core Securityによると、攻撃者は悪意あるコードを含むJavaScriptをPDFファイルに埋め込み、ウェブサイトや電子メールを通じてこのコードを広める可能性があるという。ファイルが開かれると、このコードはプログラムのメモリ割り当てのパターンを操作し、脆弱性を突いてユーザー権限で任意のコードを実行できるようになる。

 CoreLabsの研究員であるDamian Frizza氏は2008年5月、「Foxit Reader」という別のPDFビューワーについて同様の脆弱性を調査していた際に、この脆弱性を発見した。Core Securityは直ちに、この新しいセキュリティホールをAdobeに報告した。

 デスクトップ向けソフトウェアの複雑化により、アプリケーションがソフトウェアの実装に起因するバグを含む可能性が高まっている、とCore Securityの最高技術責任者(CTO)を務めるIvan Arce氏は指摘する。

 「われわれはこれまで、旧バージョンのAdobeソフトウェアや他のアプリケーションのJavaScriptエンジンに同様の脆弱性を見てきた。実装に起因するこうしたバグを避けるのは難しい」(Arce氏)

 Adobe ReaderとFoxit Readerの両方のPDFリーダーに同じバグが存在するということは、ベンダーごとに製品に異なる技術やコードを用いていても、競合するソフトウェアに脆弱性が発見された場合には自社のアプリケーションにも同様のバグがないか確認すべきであることを示している、とArce氏は述べた。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから