リリース日:2009年12月15日(米国時間)
最終更新日: 2009年12月15日(米国時間)
脆弱性識別番号:APSA09-07
CVE番号:CVE-2009-4324
プラットフォーム:全プラットフォーム
アドビではAdobe Reader、Acrobat 9.2およびそれ以前のバージョンにクリティカルな脆弱性が存在することを確認しています。この脆弱性が悪用されるとクラッシュが発生したり、当該システムが攻撃者によって制御されるおそれがあります。この脆弱性に関しては、既に一部でその悪用事例が報告されています。アドビではパッチが公開されるまでの間、お客様に以下の緩和策の適用を推奨します。
この問題を解決するためのAdobe ReaderおよびAcrobat向けアップデートは、2010年1月12日(米国時間)までに公開する予定です。
Windows版、Macintosh版およびUNIX版のAdobe Reader 9.2およびそれ以前のバージョン
Windows版およびMacintosh版のAdobe Acrobat 9.2およびそれ以前のバージョン
Adobe ReaderおよびAcrobatのバージョン9.2または8.1.7をご利用のお客様は、JavaScript Blacklist Frameworkを利用することでこの脆弱性を回避することができます。この方法について詳しくは、こちらのテクニカルノート*を参照してください。
JavaScript Blacklist機能を利用できないお客様は、以下の手順でAdobe ReaderおよびAcrobatのJavaScriptを無効化することで今回の問題の影響を緩和できます。
1. AcrobatまたはAcrobat Readerを起動します。
2. 編集/環境設定を選択します。
3. 分類の一覧から「JavaScript」を選択します。
4.「Acrobat JavaScriptを使用」オプションのチェックを外します。
5.「OK」をクリックします。
一部のバージョンのMicrosoft Windowsに実装されているMicrosoft DEP ("Data Execution Prevention") 機能をご利用のお客様に対しては、この脆弱性によるリスクは限定的な物になります。以下にその構成を示します。
DEPによる問題の影響緩和が見込める環境においては、今回の脆弱性の悪用による影響がDoS(Denial of Service:サービス拒否)に緩和されることがアドビの動作環境テストで判明しています。
アドビはこの問題をクリティカルな案件と分類し、所定のパッチが公開されるまでの間は、お客様に上記の緩和策の適用を推奨します。
アドビではAdobe Reader、Acrobat 9.2およびそれ以前のバージョンにクリティカルな脆弱性が存在することを確認しています。この脆弱性が悪用されるとクラッシュが発生したり、当該システムが攻撃者によって制御されるおそれがあります。この脆弱性に関しては、既に一部でその悪用事例が報告されています。アドビではパッチが公開されるまでの間、お客様に上記の緩和策を講じることをお勧めします。この問題を解決するためのAdobe ReaderおよびAcrobat向けアップデートは、2010年1月12日までに公開する予定です。
アドビでは、今回の脆弱性およびその他の脆弱性に関する情報をセキュリティコミュニティのパートナー様との間で活発に共有し、パッチが公開されるまでの間、パートナー様がユーザーを保護するための検出・予防方法や素早く開発できるようにしています。お客様にはご利用中のアンチマルウェアソフトウェアおよびその関連定義ファイルを常に最新状態に維持し、今回の問題点に関するこれらのソフトウェアベンダー様からの情報発信に留意されることを推奨します。
2009年12月15日 - 今回の問題を解決するためのAdobe ReaderおよびAcrobat向けアップデートの公開予定日を追記
2009年12月15日 - 初出
