［世界］
Adobe Readerで深刻な脆弱性が発覚

PDFを開いただけでコンピュータが乗っ取られるおそれも

（2007年09月21日）

Adobe Readerの脆弱性の存在を明らかにしたペトコ・ペトコフ氏のブログ。同氏は修正パッチが配布されるまで、実証サンプル・コードは公開しないと明言している

　英国のセキュリティ研究団体「GNUCITIZEN」は9月20日、米国アドビシステムズの「Adobe Reader（旧Acrobat Reader）」に、深刻な脆弱性があると発表した。

　同団体は今週、米国アップルのメディア・プレーヤ「QuickTime」の脆弱性や、米国マイクロソフトのメディア・プレーヤ「Windows Media Player」の脆弱性も指摘している（関連記事）。

　同団体で不正侵入の研究を担当しているペトコ・ペトコフ氏は、この攻撃者がこの脆弱性を悪用すれば、ターゲットがPDFを開いただけで、コンピュータを乗っ取ることができると、自身のブログで指摘している。

　ペトコフ氏によると、この脆弱性はWindows XP Service Pack 2上で稼働するAdobe Reader 8.1で確認されたという。ただし同氏は「それ以前のバージョンにも、脆弱性がある可能性が高い」と注意を呼びかけている。

　ペトコフ氏はこの脆弱性を標的とした実証サンプル・コードを、アドビが修正パッチを配布するまで公開しないと明言したうえで、同脆弱性を修正するバグ・フィックス・コードを、すでにセキュリティ・ソフトウェア開発者に送付したことを明らかにした。

　米国エヌサークル・ネットワーク・セキュリティでセキュリティ業務担当ディレクターを務めるアンドリュー・ストームズ氏は、「ペトコフ氏が指摘する脆弱性がほんとうに存在するならば」と前置きしたうえで、「ビジネス・ユーザーは、何のためらいもなくPDFファイルを開く習慣がある。（Adobe Readerの脆弱性のような）ユーザーの認知度が低い脆弱性は、それだけで脅威であり、ビジネス・ユーザーにとって悪いニュースだ」とコメントした。

　ストームズ氏は近年、一部のハッカーがAdobe Readerをターゲットに攻撃を仕掛けたことがあったことを明らかにした。しかしそのときは、Adobe Readerの特定のバージョンの脆弱性を対象にしたもので、特に大きな被害にはならなかったという。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)