『Acrobat Reader』旧版にバッファオーバーフローの脆弱性

セキュリティ専門会社が4日、『Adobe Acrobat Reader』の一部のバージョンに、システム乗っ取りを許しかねない「高い危険度」を持つバッファオーバーフローの脆弱性があると警告した。

英国のセキュリティコンサルタント会社 NGSSoftware は、Adobe Acrobat Reader の XML フォームデータ形式 (XFDF) を処理するコードに脆弱性を見つけた。悪意を持った攻撃者がユーザーをだまし、意図的に作成した XFDF ファイルを閲覧するよう仕向けて、バッファオーバーフローを引き起こす可能性があると警告した。

脆弱性があるのは、Adobe Acrobat Reader のバージョン 5.1 だ。開発元の Adobe Systems はすでに同脆弱性を修正済みで、最新版の『Adobe Acrobat Reader 6.0』にアップグレードするようユーザーに呼びかけている。

NGSSoftware のセキュリティ勧告によると、脆弱性は非常に深刻だという。つまり、Microsoft の Web ブラウザ『Internet Explorer』などは、XFDF ファイルを読み込んだ際に自動的に表示するためだ。これは拡張子「.xfdf」を持つファイルの場合だけでなく、MIMEタイプで XFDF となっていれば、XFDF ファイルとして処理してしまう。

同勧告では、「ファイルを表示するとバッファオーバーフローを引き起こす。ただし攻撃者は、悪意のある XFDF ファイルを置いた Web サイトにユーザーを誘き寄せたり、Eメールで XFDF ファイルを送りつける必要がある」と説明している。

Adobe Acrobat Reader は、PDF 文書の表示と印刷用に、広く普及している。