編集部からのお知らせ
新着PDF集:データセンターの省電力化
「これからの企業IT」の記事はこちら

「Windows」と「Adobe Reader」のフォント管理システムに深刻な脆弱性

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-06-25 12:09

 ゼロディ攻撃の撲滅を目指す「Google Project Zero」に参加する研究者、Mateusz Jurczyk氏が米国時間6月23日、「Adobe Reader」と「Windows」のフォント管理システム内に発見した15件の脆弱性に関する詳細を公表した。

 Jurczyk氏からの情報提供を受けたMicrosoftとAdobeは、最新のセキュリティ更新で該当する脆弱性を修正済みだ。

公表された脆弱性 公表された脆弱性
※クリックすると拡大画像が見られます

 Jurczyk氏がテクノロジ系ニュースサイトのThe Registerに語ったところによると、一連の脆弱性の中で最も深刻度が高いのは、32ビットシステムに影響を与える「CVE-2015-3052」と、64ビットシステムに影響を与える「CVE-2015-0093」の2件。Adobe Type Managerフォントドライバ(ATMFD.DLL)内に発見されたこれらの脆弱性は、BLEND演算子によるCharstringの処理方法に起因している。Charstringは、特定サイズのグリフ描画を担っている。

 これらの脆弱性を悪用されると、Microsoft WindowsとAdobe Readerの全バージョンにおいて、リモートからのコード実行やWindowsカーネル内の特権昇格を通じて、ユーザーレベルとカーネルレベルのセキュリティリスクに対する軽減策をすべて突破される可能性があるという。

 Jurczyk氏は、Windows 8.1とAdobe Reader 11.0.10を通じた攻撃を実証するデモンストレーション動画を公開している。


 この研究結果は、カナダのモントリオールで開催されたセキュリティに関するカンファレンス「REcon」の、「One font vulnerability to rule them all(フォントの脆弱性1つですべてのシステムを支配可能)」というセッションでも公表された。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]