アドビの修正プログラムは回避可能--セキュリティ研究者が警告

文:Ben Woods(ZDNet UK) 翻訳校正:湯本牧子、吉武稔夫

2010-07-05 11:56

 Adobe Systemsは、米国時間6月29日に定例外のアップデートとして、PDFソフトウェア製品「Adobe Reader」および「Adobe Acrobat」の修正パッチをリリースしたが、ベトナムのセキュリティ企業によると、これらのパッチでは依然として、攻撃者に悪意のあるコードの実行を許してしまうおそれのある問題が修正されていないという。

 このアップデート(「Adobe Reader 9.3.3」および「Adobe Acrobat 9.3.3」)は、複数のセキュリティ問題に対処する目的で実施された。問題の1つは、埋め込み型の実行ファイルを開くようユーザーを誘導するおそれのある「ファイルを起動」ダイアログボックスに関連するものだ。3月にこの問題をAdobeに報告したベルギーのセキュリティ研究者Didier Stevens氏はパッチのリリース後、問題が修正されたことを確認したとブログ投稿の中で述べている。

 だが、ベトナムのウイルス対策プロバイダーBach Khoa Internetwork Security(Bkis)によると、攻撃を仕掛けているウイルスが利用している脆弱性は、このアップデートによっても完全に修正できていないという。

 Bkisのシニアセキュリティ研究者であるLe Manh Tung氏は、同社セキュリティブログへの投稿の中で、実行ファイルのパラメータに引用符(" ")を追加することで、修正プログラムを回避できると指摘した。同氏によれば、攻撃者がエクスプロイトコード内の「/F(cmd.exe)」を「/F("cmd.exe")」に変更すると、コードの実行は阻止されず、「ファイルを起動」ダイアログボックスが表示されるという。

 一方、Adobeはブログ投稿の中で、Stevens氏とBkisが示した問題について認めたものの、この問題は欠陥ではなく、PDFの仕様に含まれる機能を悪用したものだと説明し、ブラックリストを用いて添付ファイルを排除する機能を追加したと述べた。

 Adobeはまた、攻撃者が不正な指示を与えてユーザーに警告メッセージを無視するよう促すのを防ぐため、「ファイルを起動」ダイアログボックスの警告メッセージを修正したことも明らかにした。

 Adobeは、Bkisが発見したパッチ回避策に対して措置を講じるかどうか、いまだに検討中だと述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]