有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は5日、「Adobe Acrobat及びAdobe Readerの脆弱性に関する注意喚起」を行った。

指摘された脆弱性は、PDFファイル作成・変換ソフトウェアAdobe AcrobatおよびPDFファイル閲覧ソフトウェア Adobe Readerの脆弱性は次の通り。

脆弱性

• ドキュメント中のJavaScriptの処理において、スタックバッファオーバーフローの脆弱性

想定される被害としては、遠隔の第三者により細工されたPDFファイルなどをユーザーに開かせることで、Adobe AcrobatやAdobe Readerを不正終了したり、任意のコードが実行される可能性がある。Adobe Systemsによると、11月5日現在でこの脆弱性を狙った攻撃は確認されていないとのことである。対象となる製品とバージョンは以下の通りである。

対象製品とバージョン

• Adobe Reader 8.1.2およびそれ以前のバージョン
• Adobe Acrobat Professional、3D、Standardのバージョン8.1.2およびそれ以前のバージョン

Adobe Acrobat 9およびAdobe Reader 9は、この脆弱性の影響を受けない。

対策方法

この脆弱性への対処は、Adobe Systemsより提供されている修正済みソフトウェアを適用することである。Adobe AcrobatおよびAdobe Readerの起動後、メニューの[ヘルプ(H)]→[アップデートの有無をチェック(U)]をクリックすることで製品の自動更新が行われる。自動更新が不可能な場合は、以下のURLからAdobe Reader 8.1.3をダウンロードし、インストールすることである。

• Adobe Reader 8.1.3 update - multiple languages

もしくは、この脆弱性の影響を受けないAdobe Acrobat 9およびAdobe Reader 9にバージョンアップすることで、脆弱性を回避できる。その他の情報については、下記を参照されたい。

• JPCERT/CC「Adobe Acrobat及びAdobe Readerの脆弱性に関する注意喚起」
• Security Update available for Adobe Reader 8 and Acrobat 8
• JVNTA08-309A:Adobe ReaderおよびAcrobatにおける複数の脆弱性に対するアップデート
• US-CERT Vulnerability Notes for Adobe Security Bulletin APSB08-19
• @police:アドビシステムズ社のAdobe ReaderとAcrobatのセキュリティ修正プログラムについて(11/5)