Adobe Readerで深刻な脆弱性が発覚
PDFを開いただけでコンピュータが乗っ取られるおそれも
英国のセキュリティ研究団体「GNUCITIZEN」は9月20日、米国アドビ システムズの「Adobe Reader(旧Acrobat Reader)」に、深刻な脆弱性があると発表した。
同団体は今週、米国アップルのメディア・プレーヤ「QuickTime」の脆弱性や、米国マイクロソフトのメディア・プレーヤ「Windows Media Player」の脆弱性も指摘している(関連記事)。
同団体で不正侵入の研究を担当しているペトコ・ペトコフ氏は、この攻撃者がこの脆弱性を悪用すれば、ターゲットがPDFを開いただけで、コンピュータを乗っ取ることができると、自身のブログで指摘している。
ペトコフ氏によると、この脆弱性はWindows XP Service Pack 2上で稼働するAdobe Reader 8.1で確認されたという。ただし同氏は「それ以前のバージョンにも、脆弱性がある可能性が高い」と注意を呼びかけている。
ペトコフ氏はこの脆弱性を標的とした実証サンプル・コードを、アドビが修正パッチを配布するまで公開しないと明言したうえで、同脆弱性を修正するバグ・フィックス・コードを、すでにセキュリティ・ソフトウェア開発者に送付したことを明らかにした。
米国エヌサークル・ネットワーク・セキュリティでセキュリティ業務担当ディレクターを務めるアンドリュー・ストームズ氏は、「ペトコフ氏が指摘する脆弱性がほんとうに存在するならば」と前置きしたうえで、「ビジネス・ユーザーは、何のためらいもなくPDFファイルを開く習慣がある。(Adobe Readerの脆弱性のような)ユーザーの認知度が低い脆弱性は、それだけで脅威であり、ビジネス・ユーザーにとって悪いニュースだ」とコメントした。
ストームズ氏は近年、一部のハッカーがAdobe Readerをターゲットに攻撃を仕掛けたことがあったことを明らかにした。しかしそのときは、Adobe Readerの特定のバージョンの脆弱性を対象にしたもので、特に大きな被害にはならなかったという。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
