Adobe Reader、6月に報告された脆弱性の一部が未修正

tamo 曰く、　GoogleのセキュリティーチームがChrome内蔵のPDFリーダーに実行したファズテストと同様の手法でAdobe Readerを調査したところ、クラッシュを引き起こす脆弱性が60個発見されたそうです(gynvael.coldwindの記事、The H Openの記事、本家/.)。

60個の脆弱性のうち、攻撃に利用される可能性のあるものは40個。Adobeには6月下旬に報告されていますが、8月14日に公開されたアップデートAPSB12-16ではWindows版とMac OS X版で計16個の脆弱性が修正されないまま残されており、Linux版はアップデートが公開されていません。

これらの脆弱性が攻撃に使われているという証拠はないものの、Windows版やMac OS X版で修正済みの脆弱性は修正前後のバイナリーの差分から容易に見つけることができます。また、ファズテストに使用したサンプルは公開されているPDFファイルをビット反転などの細工を施したものなので、ブラウザー用のAdobe Readerプラグインを無効化し、メールに添付されたPDFファイルなど、外部から受け取ったPDFファイルを開かないことが推奨されています。Windows版のユーザーはサンドボックス機能の搭載されたAdobe Reader Xを使用することで、攻撃を受けにくくなるとのことです。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | バグ

　関連ストーリー：
5千万件目のマルウェアはAdobe Readerを狙う 2011年01月29日
Adobe Reader および Adobe Acrobat に新たな zero-day exploit 2010年09月13日
Adobe Reader v9.3.2 公開、脆弱性修正と共に自動アップデート機能を搭載 2010年04月16日
PDF の設計を利用し、任意のコードを実行する方法公表される 2010年04月07日
Adobe Readerの未修正の脆弱性を突いた攻撃が確認される 2009年12月28日
Adobe の「ゼロデイ脆弱性」の存在、8 ヶ月前には分かっていて誤診断 2009年07月28日
Adobe ReaderやFlash Playerの脆弱性を突くウイルス、急拡大中 2009年05月18日