Adobe ReaderとAcrobatのゼロデイ脆弱性を修正するパッチが公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2010年01月14日 14時53分

  • このエントリーをはてなブックマークに追加

 Adobeは同社のAdobe ReaderおよびAcrobatの、全部で8件の明文化されたセキュリティ上の脆弱性を修正する大型アップデートを公開した。

 このアップデートでは大きなセキュリティの改善が行われており、これには「拡張セキュリティ」機能がデフォルトで有効にされることが含まれる。拡張セキュリティ機能は、デフォルトではスクリプトの実行を制限し、この制限の対象としない信頼できる場所を指定する方法も併せて提供する。

 今回のアップデートで修正される脆弱性は以下の通りだ。

  • このアップデートでは、Multimedia.apiに存在する、コードの実行につながる可能性のある解放済みメモリを使用する脆弱性を修正している(CVE-2009-4324)。この問題は実際に悪用されており、使用されている攻撃方法では、WindowsプラットフォームのAdobe ReaderおよびAcrobat 9.2が攻撃対象となっている。
  • このアップデートでは、U3Dサポートに存在する、任意のコードの実行につながる可能性のある配列の境界条件の問題を解決している(CVE-2009-3953)。
  • このアップデートでは、3Dに存在する、任意のコードの実行が可能になる場合があるDLL読み込みの脆弱性を修正している(CVE-2009-3954)。
  • このアップデートでは、コードの実行につながる可能性のあるメモリ破壊の脆弱性を修正している(CVE-2009-3955)。
  • このアップデートでは、拡張セキュリティのデフォルト設定を変更することにより、スクリプトインジェクションの脆弱性を緩和している(CVE-2009-3956)。
  • このアップデートでは、サービス妨害につながる可能性のある、ヌルポインタを間接参照する脆弱性を修正している(CVE-2009-3957)。
  • このアップデートでは、コードの実行につながる可能性のある、ダウンロードマネージャに存在するバッファオーバーフローの脆弱性を修正している(CVE-2009-3958)。
  • このアップデートでは、コードの実行につながる可能性のある、U3Dサポートに存在する整数オーバーフローの脆弱性を修正している(CVE-2009-3959)。

 Adobeはすべてのプラットフォームで、このアップデートの緊急度を「クリティカル」に分類している。これらのセキュリティホールの影響を受けるのは、Windows、Macintosh、UNIXのAcrobat 9.2およびAcrobat 9.2と、Windows、MacintoshのAdobe Reader 8.1.7およびAcrobat 8.1.7だ。

 これらの脆弱性は、アプリケーションのクラッシュを引き起こす場合があり、攻撃者に影響を受けるシステムの乗っ取りを許す可能性がある。

 今回のパッチと一緒に公開されたこの資料によれば、Adobeはデフォルトで拡張セキュリティ機能を有効にしている。

 拡張セキュリティは、環境を守るために設計された2つのツールを提供する。デフォルトで設定されるスクリプト実行の制限と、その制限を適用すべきでない信頼できる場所を設定する手段だ。つまり、危険な行動を全面的にブロックすることもできれば、信頼できる場所やファイルだけを選択的に許可することもできるということだ。

 このアップデートにはほかに、セキュリティ特権の場所を設定する機能に対する改良、クロスドメインのサポート、警告メッセージとダイアログの改良、デフォルトでの古いマルチメディアのサポートに対する無効化が含まれている。

 Adobeはまた、Adobe ReaderとAcrobatの新しい自動アップデート機能のベータテストも開始した。このアップデーターは、デフォルト状態ではユーザーが関与しなくても通知なしにパッチをインストールする。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]