「Acrobat」または「Acrobat Reader」を最新バージョンにしていないWindowsユーザーは、直ちにアップデートすべきだ。Googleの研究者が、以前のバージョンのこれら2つのソフトウェアに影響がある脆弱性の詳細と、それを利用した攻撃方法を発表した。
Adobeは9月に発表したWindows用AcrobatおよびReaderのセキュリティアップデートで、これらのソフトウェアのバージョン11.0.8には、サンドボックスをバイパスできる脆弱性が存在し、攻撃者が昇格した特権でネイティブコードを実行できる可能性があると述べている。US-CERTはこの脆弱性の深刻度を10としている。
このバグは、GoogleのProject Zeroに所属するセキュリティ研究者である、James Forshaw氏が発見したもの。Forshaw氏は今回このセキュリティホールに関する詳しい情報を公開したため、攻撃者はこの情報を利用して、この脆弱性を悪用する攻撃方法を考案することが可能になった。そのため、WindowsユーザーはAcrobatおよびReaderをバージョン11.0.9にアップデートする必要性が高まっている。公開された詳細情報には、概念実証コード、ソースコード、およびあらかじめコンパイルされたバイナリが含まれている。
Project Zeroは、ゼロデイ攻撃の被害を受けるユーザーの数を減らすことを目的として、広く一般に利用されているサードパーティソフトウェアの安全性を高めようとするGoogleの取り組みだ。このプログラムは、Googleのソフトウェアに存在するセキュリティホールを報告する研究者に対して、報奨金を支払う取り組みとは、別個に進められている。
Project Zeroによって発見されたセキュリティホールに関する情報は、外部のデータベースに保存され、影響を受ける製品のベンダーがそのセキュリティホールに対するパッチをリリースするか、ベンダーに報告されてから90日が経過するまでは秘密にされる。今回のケースでは、Adobeはすでにセキュリティパッチをリリースしており、11月26日に90日の期限が切れた。
Forshaw氏によれば、バージョン11.0.8でサンドボックスの回避が可能だったのは、「MoveFileExコールのフックの処理に存在する競合状態」が原因だったという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
