このページの本文へ

遠隔地の第三者に任意のコードを実行させられる脆弱性

JPCERT/CC、AcrobatのJavaScript無効化を推奨

2009年12月25日 06時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 12月24日、JPCERT コーディネーションセンター(JPCERT/CC)は、アドビにPDF作成ソフトウェア「Adobe Acrobat」と無料のPDF表示ソフトウェア「Adobe Reader」の脆弱性に関する注意喚起を行なった。これは、細工をしたPDFファイルをユーザーに開かせることで、Adobe Acrobat/Readerを不正終了させたり、任意のコードを実行させられる脆弱性があるというもので、パッチ公開までに行なうべき対策も紹介された。

 対象となるのは、Adobe Acrobat/Readerのバージョン9.2以前とバージョン8.1.7以前。発表によれば、この脆弱性を利用した不正コードはすでに広まっているとのこと。正規のWebサイトが改ざんされ不正なプログラムが埋め込まれる最近の事件においても、不正プログラムの一部がこの脆弱性を利用しているという。

 最新バージョンにおいても、この脆弱性は修正されておらず、改ざんされたWebサイトを表示すると、マルウェアに感染してしまう危険がある。そのため、JPCERT/CCでは、

  • Adobe Acrobat/ReaderのJavaScriptを無効にする
  • 不審なPDFファイルを開かない
  • ウイルス対策ソフトの定義ファイルを最新の状態に更新する
  • Windowsを使っている場合は、DEP(データ実行防止機能)を有効にする

といった対策を推奨している。

Adobe Acrobat/Readerの「編集」-「環境設定」からJavaScriptを無効にする。AcrobatとReaderを入れている場合は、両ソフトウェアでこの設定を行なう必要がある。

 なお、アドビによれば、脆弱性を修正するプログラムの公開予定は2010年1月13日。それまで、この脆弱性を狙った攻撃はさらに登場すると見られる。危険性の高い脆弱性だけに、上記の対策を必ず行なっておくべきだろう。

カテゴリートップへ

  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌
  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!