特に重要なセキュリティ欠陥・ウイルス情報

Adobe の Acrobat / Adobe Reader 7.x / 8.x に欠陥が発見されました。Adobe からの情報によると、この欠陥を利用するマルウェアも既に存在しています。

• APSB08-15 - Adobe Reader/Acrobat 8.1.2に関するセキュリティアップデート公開 (Adobe)
• Adobe Acrobat 及び Adobe Reader の脆弱性に関する注意喚起 (JPCERT/CC)
• JVNVU#788019 - Adobe Reader および Adobe Acrobat の JavaScript メソッドに入力値を適切に処理できない脆弱性 (JVN)

この欠陥への対応方法は以下のとおりです。

Acrobat / Adobe Reader 8.x

Acrobat / Adobe Reader 8.1.2 にアップデートした上で、Security Update 1 を適用します。Acrobat / Adobe Reader 自身のアップデート機能を利用するのがよいでしょう。個別にダウンロードする場合は、次のリンクを参照してください。

• ダウンロード - Acrobat for Windows (Adobe)
• ダウンロード - Acrobat for Macintosh (Adobe)
• ダウンロード - Adobe Reader for Windows (Adobe)
• ダウンロード - Adobe Reader for Macintosh (Adobe)

なお、Security Update 1 を適用しても、Acrobat / Adobe Reader のバージョン番号表示は変化しないので注意してください。

Acrobat / Adobe Reader 7.x

Acrobat / Adobe Reader 7.1.0 に更新してください。Acrobat / Adobe Reader 自身のアップデート機能を利用するのがよいでしょう。個別にダウンロードする場合は、次のリンクを参照してください。

• ダウンロード - Acrobat for Windows (Adobe)
• ダウンロード - Acrobat for Macintosh (Adobe)
• ダウンロード - Adobe Reader for Windows (Adobe)
• ダウンロード - Adobe Reader for Macintosh (Adobe)

2008.07.07 追記

この欠陥は、最新バージョンである Acrobat / Adobe Reader 9 には存在しません。よって、最新バージョンへのアップグレードによっても対応できます。

• 最新バージョンのAdobe Readerのダウンロード (Adobe)
• Adobe Acrobatファミリー (Adobe)

関連キーワード: Acrobat, Adobe Reader

Acrobat / Adobe Reader 7.1.0 がようやく公開されています。Acrobat / Adobe Reader 8.1.2 で修正されたセキュリティ欠陥が修正されています。

• APSB08-13 - Security Updates available for Adobe Reader and Acrobat 7 and 8 (Adobe)
• ダウンロード - Acrobat for Windows (Adobe)
• ダウンロード - Acrobat for Macintosh (Adobe)
• ダウンロード - Adobe Reader for Windows (Adobe)
• ダウンロード - Adobe Reader for Macintosh (Adobe)

Windows / Mac OS X で Acrobat / Adobe Reader 7.x を利用している場合は 7.1.0 に更新してください。ただし、できれば Acrobat / Adobe Reader 8.1.2 への移行を検討してください。

なお、UNIX/Linux 用の Adobe Reader 7.1.0 は用意されていません。UNIX/Linux については Adobe Reader 8.1.2 に更新してください。

PDFファイルを利用した標的型攻撃 (目標を絞って行われるサイバー攻撃) が流行しているようです。欠陥のある Adobe Reader / Acrobat で攻略 PDF ファイルを開くとウイルスに感染してしまいます。

• 「PDFウイルス」を使った標的型攻撃が急増、古いAdobe Readerを狙う (日経 IT Pro)

この攻撃において利用されている欠陥は、2008年2月7日〜8日にお知らせ済みの Adobe Reader 8.1.2 と Acrobat 8.1.2 において修正されています。Adobe Reader / Acrobat 利用者は 8.1.2 へアップデートしてください。

問題の欠陥は Adobe Reader 7.x / Acrobat 7.x にも存在しますが、Acrobat 8.1.2 についてのお知らせにおいても述べたように、7.x 用の修正プログラムはいまだに公開されていません。Adobe は「5月末までにリリースする予定」としていますが、攻略 PDF ファイルを使った攻撃が多発している現状を考えれば「5月末」まで待てるはずもなく、Adobe Reader 7.x / Acrobat 7.x の利用は全く推奨できません。

Adobe Reader 8.1.2 にひきつづき、Acrobat 8.1.2 が公開されています。セキュリティ欠陥を含む複数の問題が修正されています。

• APSA08-01 - Security update available for Adobe Reader and Acrobat 8 (Adobe)
• APSA08-01 - Adobe ReaderとAcrobat 8のセキュリティアップデート公開 (Adobe)

Acrobat 8.x を利用している場合は 8.1.2 に更新してください。

• Adobe Acrobat 8.1.2 Professional and Standard update (Windows) - multiple languages (Adobe)
• Adobe Acrobat 8.1.2 Professional update (Mac OS X) - multiple languages (Adobe)
• Adobe Acrobat 3D 8.1.2 update - multiple languages (Adobe)

欠陥の詳細については以下を参照してください。

• Adobe Reader Security Provider Unsafe Libary Path Vulnerability (iDefense)
• Adobe Reader and Acrobat JavaScript Insecure Method Exposure Vulnerability (iDefense)
• Adobe Reader and Acrobat Multiple Stack-based Buffer Overflow Vulnerabilities (iDefense)

これらの欠陥は Adobe Reader 7.x / Acrobat 7.x にも影響しますが、Adobe Reader 7.x / Acrobat 7.x 用の修正プログラムはまだ公開されていません。Adobe はこれら用の修正プログラムを開発中だと説明していますが、いつまで待てばよいのかは全くわかりません。これらの欠陥を攻略する PDF ファイルが既に流通しているとの報告もあり、現時点における Adobe Reader 7.x / Acrobat 7.x の利用は全く推奨できません。

• Adobe Reader exploit in the wild (SANS ISC)

どうしても Adobe Reader 7.x / Acrobat 7.x を利用し続けざるを得ない場合は特に、PDF ファイルの出所には十分に注意してください。

Adobe Reader 8.1.2 が公開されています。セキュリティ欠陥を含む複数の問題が修正されています。

• Adobe Readerの最新バージョンおよび旧バージョンのダウンロード (Adobe)
• Adobe Reader 8.1.2 Release Notes (Adobe)

Adobe Reader 8.x を利用している場合は 8.1.2 に更新してください。アップデート機能を使って更新できます ([ヘルプ] → [アップデートの有無をチェック])。なお、

• Acrobat 8.1.2 はまだ公開されていません。まもなく公開されるものと考えられます。
• セキュリティ欠陥の詳細についても公開されていません。Acrobat 8.1.2 の公開と同時に、こちらについても公開されるものと考えられます。

2008.04.25 追記

Acrobat 8.1.2 は公開されています。参照:

• Acrobat 8.1.2 が公開されています (RINS)
• APSA08-01 - Adobe ReaderとAcrobat 8のセキュリティアップデート公開 (Adobe)