リリース日:2009年2月19日(米国時間)
脆弱性識別番号:APSA09-01
CVE番号:CVE-2009-0658
プラットフォーム:全プラットフォーム
Adobe Reader 9およびAcrobat 9ならびにそれ以前のバージョンに、クリティカルな脆弱性が存在することが確認されました。この脆弱性が原因でアプリケーションがクラッシュしたり、場合によっては、攻撃者が対象システムを制御できるようになる恐れがあります。この脆弱性の悪用に関する報告を複数受けています。
アドビは、関連するセキュリティの問題を解決するために、Adobe ReaderおよびAcrobatのアップデートをリリースする予定です。2009年3月11日までに、Adobe Reader 9およびAcrobat 9に対応するアップデートを利用可能にしたいと考えており、その後Adobe Reader 8およびAcrobat 8のアップデート、続いてAdobe Reader 7およびAcrobat 7のアップデートを公開する予定です。現時点では、アドビはMcAfeeおよびSymantecなどのウィルス対策メーカーと協力して、共通のユーザのセキュリティを確実に保護するために、この問題に取り組んでいます。
この問題に関し、ウィルス対策・セキュリティ製品メーカが公表した保護対応策等の情報は、アドビ製品セキュリティインシデント対応チームのブログ*に掲載されています。
この問題からユーザを保護する手段としては、Adobe ReaderおよびAcrobatのJavaScriptを無効化する方法が報告されています。JavaScriptを無効化すれば、現時点での既知の攻撃方法からシステムを守ることができます。ただし、今回の脆弱性はスクリプティングエンジン内に存在するものではないため、JavaScriptを無効化することで、すべてのリスクを回避できるというわけではありません。JavaScriptの無効化を希望する場合は、以下の手順でこの処理を行うことができます。
これらの製品のアップデートが利用可能になり次第、http://www.adobe.com/jp/support/securityにてセキュリティ情報を公開します。
セキュリティの脆弱性に関する文書やその解決策はすべて、アドビのセキュリティ通知サービスを介して配布されています。本サービスへの登録は、http://www.adobe.com/cfusion/entitlement/index.cfm?e=szalert*から行うことができます。
Adobe Reader 9およびそれ以前のバージョン
Adobe Acrobat Standard、Pro、Pro Extended 9およびそれ以前のバージョン
アドビはこの問題をクリティカルな案件と分類し、ユーザの皆様には、ウィルス定義を更新し、信頼されないソースからのファイルを開く際には十分に注意することをお勧めします。
2009年2月24日 – セキュリティ情報更新
2009年2月19日 – セキュリティ情報初版作成
※いずれも米国時間
