古い「Acrobat」と「Adobe Reader」の重大なバグを悪用する攻撃コードが公開

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2014-11-28 10:31

 「Acrobat」または「Acrobat Reader」を最新バージョンにしていないWindowsユーザーは、直ちにアップデートすべきだ。Googleの研究者が、以前のバージョンのこれら2つのソフトウェアに影響がある脆弱性の詳細と、それを利用した攻撃方法を発表した。

 Adobeは9月に発表したWindows用AcrobatおよびReaderのセキュリティアップデートで、これらのソフトウェアのバージョン11.0.8には、サンドボックスをバイパスできる脆弱性が存在し、攻撃者が昇格した特権でネイティブコードを実行できる可能性があると述べている。US-CERTはこの脆弱性の深刻度を10としている

 このバグは、GoogleのProject Zeroに所属するセキュリティ研究者である、James Forshaw氏が発見したもの。Forshaw氏は今回このセキュリティホールに関する詳しい情報を公開したため、攻撃者はこの情報を利用して、この脆弱性を悪用する攻撃方法を考案することが可能になった。そのため、WindowsユーザーはAcrobatおよびReaderをバージョン11.0.9にアップデートする必要性が高まっている。公開された詳細情報には、概念実証コード、ソースコード、およびあらかじめコンパイルされたバイナリが含まれている。

 Project Zeroは、ゼロデイ攻撃の被害を受けるユーザーの数を減らすことを目的として、広く一般に利用されているサードパーティソフトウェアの安全性を高めようとするGoogleの取り組みだ。このプログラムは、Googleのソフトウェアに存在するセキュリティホールを報告する研究者に対して、報奨金を支払う取り組みとは、別個に進められている。

 Project Zeroによって発見されたセキュリティホールに関する情報は、外部のデータベースに保存され、影響を受ける製品のベンダーがそのセキュリティホールに対するパッチをリリースするか、ベンダーに報告されてから90日が経過するまでは秘密にされる。今回のケースでは、Adobeはすでにセキュリティパッチをリリースしており、11月26日に90日の期限が切れた。

 Forshaw氏によれば、バージョン11.0.8でサンドボックスの回避が可能だったのは、「MoveFileExコールのフックの処理に存在する競合状態」が原因だったという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]