Adobe、複数の脆弱性に対応する修正プログラム公開

Adobe Systems (NASDAQ:ADBE) は12月第3週、複数の脆弱性に対応した修正プログラムを相次いで公開した。

Adobe 広報の John Cristofano 氏は取材に応じ、今回対応した脆弱性の悪用事例について、報告は届いていないと語った。

問題となっているのは、『Adobe Reader』ならびに『Acrobat (Professional および Standard)』のバージョン 6.0.0 からバージョン 6.0.2 までの Windows 版と Macintosh 版で、どちらの修正プログラムも、『eBooks』『Flash』ならびに PNG に関する機能で見つかった脆弱性に対応するものだ。

問題の脆弱性について、セキュリティ会社の Secunia ならびに iDEFENSE が情報を公開した。iDEFENSE は10月に同脆弱性を Adobe に通知していた。

eBook に関する脆弱性の内容は、Secunia のセキュリティ勧告によれば、eBook プラグイン内部の「.etd」ファイルを解析する段階で、書式文字列エラーが発生し、任意のコード実行につながる恐れがあるというものだ。同脆弱性を悪用するには、「title」と「baseurl」フィールドに書式指定子を含んだ eBook を特別に細工して作成する必要がある。Secunia の深刻度評価は、5段階中上から2番目となっている。

同様に、PNG ライブラリ「libpng」に存在する複数の脆弱性を突けば、システムの制御を攻撃者が握りかねない。加えて、PDF 文書中の Flash ファイル処理に関する問題を悪用すれば、ユーザーシステムのファイルを読み出せる可能性があるという。

Adobe 広報の Cristofano 氏によれば、近く公開予定の Acrobat バージョン7.0、ならびに Adobe Reader バージョン7.0 は、今回の脆弱性に対応するという。

またこれらとは別に、Adobe は『Acrobat Reader 5.0.9』の UNIX 版に見つかった脆弱性を修正するプログラムも公開した。

Acrobat Reader 5.0.9 UNIX 版の脆弱性について、iDEFENSE Labs の Greg MacManus 氏は、同版で起こるバッファーオーバーフローにより、遠隔的に任意コード実行が可能と述べた。

iDEFENSE は公開したセキュリティ情報の中で、「脆弱性は、mailListIsPdf() 関数に存在する。これは、入力ファイルが PDF 文書を添付した Eメールかどうかをチェックする関数で、strcat() を使って固定サイズのバッファに、ユーザーのデータをコピーしてしまうという問題を持っている」と説明した。