Adobe Systemsは、米国時間6月29日に定例外のアップデートとして、PDFソフトウェア製品「Adobe Reader」および「Adobe Acrobat」の修正パッチをリリースしたが、ベトナムのセキュリティ企業によると、これらのパッチでは依然として、攻撃者に悪意のあるコードの実行を許してしまうおそれのある問題が修正されていないという。
このアップデート(「Adobe Reader 9.3.3」および「Adobe Acrobat 9.3.3」)は、複数のセキュリティ問題に対処する目的で実施された。問題の1つは、埋め込み型の実行ファイルを開くようユーザーを誘導するおそれのある「ファイルを起動」ダイアログボックスに関連するものだ。3月にこの問題をAdobeに報告したベルギーのセキュリティ研究者Didier Stevens氏はパッチのリリース後、問題が修正されたことを確認したとブログ投稿の中で述べている。
だが、ベトナムのウイルス対策プロバイダーBach Khoa Internetwork Security(Bkis)によると、攻撃を仕掛けているウイルスが利用している脆弱性は、このアップデートによっても完全に修正できていないという。
Bkisのシニアセキュリティ研究者であるLe Manh Tung氏は、同社セキュリティブログへの投稿の中で、実行ファイルのパラメータに引用符(" ")を追加することで、修正プログラムを回避できると指摘した。同氏によれば、攻撃者がエクスプロイトコード内の「/F(cmd.exe)」を「/F("cmd.exe")」に変更すると、コードの実行は阻止されず、「ファイルを起動」ダイアログボックスが表示されるという。
一方、Adobeはブログ投稿の中で、Stevens氏とBkisが示した問題について認めたものの、この問題は欠陥ではなく、PDFの仕様に含まれる機能を悪用したものだと説明し、ブラックリストを用いて添付ファイルを排除する機能を追加したと述べた。
Adobeはまた、攻撃者が不正な指示を与えてユーザーに警告メッセージを無視するよう促すのを防ぐため、「ファイルを起動」ダイアログボックスの警告メッセージを修正したことも明らかにした。
Adobeは、Bkisが発見したパッチ回避策に対して措置を講じるかどうか、いまだに検討中だと述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。