アップデート：Adobe Reader の新しいゼロデイ脆弱性2件

ReaderとAcrobatのアップデート

危険度：高

2009年5月12日

【アップデート】
米国時間の2009年4月28日、LiveSecurityはAdobe Readerに見られる2件のゼロデイ脆弱性について警告した。攻撃者はこの脆弱性を悪用してユーザのコンピュータでコードを実行、場合によってはそのコンピュータを完全に操作できるようになる。この問題を最初に報告した時点では、すでにグレイハットのセキュリティ・リサーチャーがこの欠陥を利用した概念実証(PoC)の悪用方法を一般公開していた。LiveSecurityではAdobeがこの問題に対応するパッチをリリース次第、アップデートで知らせると報告したが、そのパッチが今日公開された。

Adobeのセキュリティ情報は、両方のセキュリティ脆弱性（うち1つはUNIXシステムのReaderにのみ影響）を修正するReader 9.1.1をリリースした他、この脆弱性の影響を受けていたAcrobatのアップデートもリリースしている。Adobeのセキュリティ情報では、こうした欠陥の技術詳細には触れていないが、その影響力については説明されている。攻撃者は悪質に細工したPDFドキュメント(.pdf)をユーザがダウンロードし、それを閲覧するように仕向けることで脆弱性を悪用、ユーザの権限を利用してそのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できる。

使用しているプラットフォームにかかわらず、Adobe ReaderやAcrobat を使用している場合は出来る限り早急にAdobeのアップデート版をダウンロードし、インストールすることをすすめる。詳細については下記を参照。

【対策】
Adobeはこうした問題を修正するためAdobe Reader 9.1.1、Acrobat 8.1.5、Acrobat 8.1.3、Acrobat 7.1.2 をリリースしているので、出来る限り早急に状況に適したアップデートをダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。

Adobeの日本語サイト

• Adobe Reader 9.1.1
• Windows対応
• Mac対応
• UNIX対応
• Adobe Acrobat
• Pro and Pro Extended for Windows
• 3D for Windows
• Pro for Mac

注意：　Adobe Updaterを使用している場合は、ユーザの状況に適したアップデート版が自動的にインストールされている場合もある。

ウォッチガード・ユーザ：
パッチをインストールすることで、ユーザが正当なPDFも再びダウンロードできるようになる。このため、PDFドキュメント(.pdf)を一時的にブロックするためにFireboxのプロキシ・ポリシーをカスタマイズしたことがある場合は、パッチをインストールした後にその設定を解除することを検討してもいいだろう。

この脆弱性の詳細については、4月28日付けのセキュリティ・アラートを参照することをすすめる。同記事はこちらからも閲覧可能。