編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

Core Security、「Adobe Reader」の脆弱性を報告--アドビは修正パッチを公開

文:Elinor Mills(CNET News.com) 翻訳校正:矢倉美登里、高森郁哉

2008-11-05 10:32

 Core Security Technologiesによると、「Adobe Reader」に重大なセキュリティホールがあり、これにより攻撃者はコンピュータを乗っ取ることが可能になるかもしれないという。

 Core Security Technologiesは米国時間11月4日に発表した声明の中で、この脆弱性の影響を受けるのはバージョン8.1.2のAdobe Readerだと述べた。同社の発表は、Adobe Systemsが同日に予定していた、この脆弱性を修正するセキュリティアップデートのリリースに合わせて行われた。

 このセキュリティ情報は11月4日早朝に掲載された。「これらの問題が実際に悪用されたという報告は寄せられていない」と、Adobeはセキュリティブログへの投稿に書いている。

 Core Securityによると、攻撃者は悪意あるコードを含むJavaScriptをPDFファイルに埋め込み、ウェブサイトや電子メールを通じてこのコードを広める可能性があるという。ファイルが開かれると、このコードはプログラムのメモリ割り当てのパターンを操作し、脆弱性を突いてユーザー権限で任意のコードを実行できるようになる。

 CoreLabsの研究員であるDamian Frizza氏は2008年5月、「Foxit Reader」という別のPDFビューワーについて同様の脆弱性を調査していた際に、この脆弱性を発見した。Core Securityは直ちに、この新しいセキュリティホールをAdobeに報告した。

 デスクトップ向けソフトウェアの複雑化により、アプリケーションがソフトウェアの実装に起因するバグを含む可能性が高まっている、とCore Securityの最高技術責任者(CTO)を務めるIvan Arce氏は指摘する。

 「われわれはこれまで、旧バージョンのAdobeソフトウェアや他のアプリケーションのJavaScriptエンジンに同様の脆弱性を見てきた。実装に起因するこうしたバグを避けるのは難しい」(Arce氏)

 Adobe ReaderとFoxit Readerの両方のPDFリーダーに同じバグが存在するということは、ベンダーごとに製品に異なる技術やコードを用いていても、競合するソフトウェアに脆弱性が発見された場合には自社のアプリケーションにも同様のバグがないか確認すべきであることを示している、とArce氏は述べた。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AI導入に立ちはだかる「データ」「複雑さ」「コスト」「人材」の壁をどう乗り切ればいいのか?

  2. クラウドコンピューティング

    【IDC調査】2026年には75%のアプリがAIを実装!導入で遅れた企業はどう“逆転”すべきか?

  3. 運用管理

    経産省調査で明らかに:未だにレガシーシステムを抱える企業が8割!オープン化でよくある課題とは?

  4. 運用管理

    AWS東京リージョンの大規模障害に学ぶ、パブリッククラウド上のシステムの迅速な復旧方法

  5. windows-server

    【ユースケース】ソフトウェア開発にDell EMCインフラ+コンテナを使うメリット

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]