Core Security、「Adobe Reader」の脆弱性を報告--アドビは修正パッチを公開

文:Elinor Mills(CNET News.com) 翻訳校正:矢倉美登里、高森郁哉

2008-11-05 10:32

 Core Security Technologiesによると、「Adobe Reader」に重大なセキュリティホールがあり、これにより攻撃者はコンピュータを乗っ取ることが可能になるかもしれないという。

 Core Security Technologiesは米国時間11月4日に発表した声明の中で、この脆弱性の影響を受けるのはバージョン8.1.2のAdobe Readerだと述べた。同社の発表は、Adobe Systemsが同日に予定していた、この脆弱性を修正するセキュリティアップデートのリリースに合わせて行われた。

 このセキュリティ情報は11月4日早朝に掲載された。「これらの問題が実際に悪用されたという報告は寄せられていない」と、Adobeはセキュリティブログへの投稿に書いている。

 Core Securityによると、攻撃者は悪意あるコードを含むJavaScriptをPDFファイルに埋め込み、ウェブサイトや電子メールを通じてこのコードを広める可能性があるという。ファイルが開かれると、このコードはプログラムのメモリ割り当てのパターンを操作し、脆弱性を突いてユーザー権限で任意のコードを実行できるようになる。

 CoreLabsの研究員であるDamian Frizza氏は2008年5月、「Foxit Reader」という別のPDFビューワーについて同様の脆弱性を調査していた際に、この脆弱性を発見した。Core Securityは直ちに、この新しいセキュリティホールをAdobeに報告した。

 デスクトップ向けソフトウェアの複雑化により、アプリケーションがソフトウェアの実装に起因するバグを含む可能性が高まっている、とCore Securityの最高技術責任者(CTO)を務めるIvan Arce氏は指摘する。

 「われわれはこれまで、旧バージョンのAdobeソフトウェアや他のアプリケーションのJavaScriptエンジンに同様の脆弱性を見てきた。実装に起因するこうしたバグを避けるのは難しい」(Arce氏)

 Adobe ReaderとFoxit Readerの両方のPDFリーダーに同じバグが存在するということは、ベンダーごとに製品に異なる技術やコードを用いていても、競合するソフトウェアに脆弱性が発見された場合には自社のアプリケーションにも同様のバグがないか確認すべきであることを示している、とArce氏は述べた。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]