▼ 2009/02/22(日) Acrobat / Adobe Reader 全バージョンに重大な欠陥、修正プログラムはまだない
Acrobat / Adobe Reader の全てのバージョンに重大な欠陥が発見されました。修正プログラムは現在開発中であり、まだ存在しません。
- APSA09-01 - Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat (Adobe)
- Adobe ReaderとAdobe AcrobatでのJBIG2画像ストリームによるリモートコード実行 (IBM ISS)
この欠陥を利用するウイルスも既に登場しています。
- Trojan.Pidief.E (Symantec)
- TROJ_PIDIEF.IN (トレンドマイクロ)
- Exploit-PDF.i (McAfee)
Acrobat / Adobe Reader の設定を変更し、JavaScript を無効とすることで、この欠陥を用いた攻撃を回避できます。たとえば Windows 版 Adobe Reader 9 の場合は、次の手順となります。
- Adobe Reader を起動します。
- [編集] メニューの [環境設定...] を選択します (画像)。「環境設定」ウインドウが開きます。
- 分類から [JavaScript] を選択し、「Acrobat JavaScript を使用」のチェックボックスを外します (画像)。
- [OK] をクリックします。「環境設定」ウインドウが閉じられます。
他のバージョンについても同様に設定できます。ウイルスによる被害を受ける前に、設定を行っておいてください。
修正プログラムは現在開発中です。
- Acrobat / Adobe Reader 9 用の修正プログラムは 2009.03.11 (米国時間) にリリースされる予定です。
- その後、Acrobat / Adobe Reader 8 用の修正プログラムの開発がおこなわれます。
- さらにその後、Acrobat / Adobe Reader 7 用の修正プログラムの開発がおこなわれます。
Acrobat / Adobe Reader 8 以前を利用している場合は、あらかじめ、最新版である Acrobat / Adobe Reader 9 へアップグレードしておくことを強く推奨します。
関連キーワード: Acrobat、Adobe Reader
2009.03.12 追記
Windows および Mac OS X 用の Acrobat / Adobe Reader 9.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 9 利用者はアップデートしてください。
現時点での、その他のバージョンの更新版の公開予定は次のとおりです。
- Acrobat / Adobe Reader 7.x / 8.x の更新版は 2009.03.18 に登場予定
- Adobe Reader 9.1 for Unix は 2009.03.25 に登場予定
その後、JavaScript を無効にしただけではこの欠陥を利用した攻撃を防ぐことはできないことが明らかになっています。どうしても旧版の Acrobat / Adobe Reader を使わなければならない場合は、PDF ファイルの扱い、特に外部から送付された PDF ファイルの扱いには十分に注意してください。
2009.03.23 追記
Windows および Mac OS X 用の Acrobat / Adobe Reader 8.1.4 / 7.1.1 が公開されました。この欠陥が修正されています。Acrobat / Adobe Reader 8.x / 7.x 利用者はアップデートしてください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0122/tb/
▼ 2009/02/22(日) Windows 版 Safari に欠陥あり、最新の 3.2.2 で修正
Windows 版 Safari に欠陥が発見され、最新の 3.2.2 で修正されています。Mac OS X 版の Safari にはこの欠陥はありません。
- Safari 3.2.2 for Windows のセキュリティコンテンツについて (Apple)
- Safari ダウンロード (Apple)
Windows 版 Safari を利用している場合は更新して下さい。
関連キーワード: Safari
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0121/tb/
▼ 2009/02/22(日) Mac OS X、Java for Mac OS X の修正プログラムが公開されています
Mac OS X および Java for Mac OS X の修正プログラムが公開されています。
- Security Update 2009-001 のセキュリティコンテンツについて (Apple)
- Java for Mac OS X 10.5 Update 3 のセキュリティコンテンツについて (Apple)
- Java for Mac OS X 10.4, Release 8 のセキュリティコンテンツについて (Apple)
Mac OS X 10.4.x / 10.5.x 利用者は、ソフトウェア・アップデートなどを利用して適用してください。
関連キーワード: Mac
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0120/tb/