Adobe Reader及びAcrobatの脆弱性、修正アップデートは11日に公開 36
来週公開予定です 部門より
あるAnonymous Coward 曰く、
2009年2月19日に米アドビシステムズが、最新バージョンを含む全てのAdobe Reader及びAdobe Acrobatに関する脆弱性について発表しているが、この問題に関する修正アップデートの公開が2009年3月11日に予定されている(Adobe Reader 9およびAcrobat 9のみ、Adobe Reader 7 /8およびAcrobat 7/8は2009年3月18日)。Adobe Product Security Incident Response Team (PSIRT)のブログも併せて参照のこと。
IT Proの記事によると、この脆弱性(CVE-2009-0658)を悪用したウイルスが存在しており、開くとファイル中に含まれたプログラムを実行、別のウィルスを複数生成されるとのこと。環境によってはAdobe Readerが強制終了するだけで問題のプログラムは実行されない場合もあるという。対処法としては、対象プロダクトのJavaScriptを無効にする方法が提示されている。
本家/.によると、このウィルスの新種が既に出現しているとのこと。この新種のウイルスは、Adobe Readerなどと共にインストールされているExplorerのシェル拡張を利用しており、PDFファイルが開かれなくても感染するとのこと。シェル拡張を利用することで、ウィルスを含んだファイルをシングルクリックしたり、サムネールビューで表示させたり、またファイルのプロパティやメタデータが表示できるまでファイルの上にカーソルを置いているだけでも感染する。
この脆弱性自体は2009年2月19日に発表されているものですが、修正アップデートの公開が近いということもあり、取り上げてみました。
互換リーダを使うようになりました (スコア:4, 参考になる)
頻繁な更新(セキュリティを考えると悪い事ではないけど、やはり面倒)と
ただPDFファイルを読むだけの為に際限なく大きなディスク領域を消費するのに
辟易して、しばらく前からpdf互換リーダソフトの『Foxit Reader』を使っています。
自宅PCとか、pdfを読むのみのPCだったらこれで十分かなぁと思います。
まぁこちらにしたからといって更新の手間が0になる訳ではありませんけどね。
既にご存じの諸兄も多いと思いますが、ご参考まで。
Wikipedia(J): Foxit Reader
http://ja.wikipedia.org/wiki/Foxit_Reader [wikipedia.org]
Re:互換リーダを使うようになりました (スコア:3, 興味深い)
互換ソフトもいいんですがね。あくまで互換ソフトは互換ソフトでしかないんだよ。それを危険性やデメリットをふまえずにむやみやたらに普及させようとする「パソコンに詳しい人(笑)」やめてくれませんか。
正直言って互換ソフトをこうやってむやみに広げる輩がいるせいで「上手く表示できません」とか言い出すのが増えてて大変迷惑。
PDFのメリットはどんな環境でもある程度安定的に同じ表示が可能なこと、そして、高いシェアを持つクロスプラットフォームな表示ソフトウエアがあること。
それをなぜこういう輩はデメリットの説明もなくあちこちにふれ回ってメリットをつぶしていく。善意が一番やっかいだというのは本当ですね。
せめて広めるならば
と言う当たり前にできて当然のことが当たり前にできないことがあることを伝えて欲しい。
さらに言うとこういった互換ソフトは代替として使うものではなく併用するものだと思います。不完全な互換しか持たないのだから。そして「うまく読めないんですが」とそのPDFを作成した人に言うと、大抵は「最新のAdobe Readerを使っていますか?」と聞かれるでしょう。そこで「○○○という互換ソフトを使っています。これで読めるように作り直してください」なんて受け入れられると思いますか。
その点で安易に
などと乗り換えを促すことを言うのはいうのはやめて欲しいですね。誰かだまされたらどうするんですか?
迷惑ですから。ほとんどすべての、組み込み向けですら存在する上に無料で高性能なビューアーソフトウエアが有りながら、それよりも2,3個メリットがあるだけで、それ以外は劣るソフトウエア。所詮はギークのオモチャですね。
Re: (スコア:0, フレームのもと)
元のコメントからは「むやみやたらに普及させよう」なんていう意図は読み取れないのだが。
単に代替となる互換リーダがあって、自分はそれを使っているとしか言っていない。
とりあえずコメント自体に噛みつきたいのか、「Foxit Reader」に噛みつきたいのか、どっちだ。
Re:互換リーダを使うようになりました (スコア:1)
"ご託"などとレッテルを貼っているが、もう少しきちんとコメントを読んだ方が良い。
これが本当なら、貴方は文章の意図を読み違えている可能性が非常に高い。普通「私はこのようにしている」と紹介していると言うことは、自分のやり方を広めようとしている意図は必ずある。
少なくとも公開していると言うことは、本人が意識しているかどうかにかかわらず、そこに広めようとしていると言う結果になる。(誰かに伝えようと思わなければ、公開すらしないはずだ)
貴方の言い方だと「○○を使わなくてはならない」と強制する口調で断言しなければ広めていることにならないと言うことになるのだが、そんな事実はない。さらに言えば、それは本質とは関係のない全くの言葉遊びでしかなく意味がない。
コメントからこれを読み取れていないのならば言うが当然ながら前者だ。当たり前だ。リスクを説明せずに安易な代替手段を公開するその間抜けさを指摘した文章だ。その証拠に、先のコメントには具体的なソフトウエアの名称を出していない。さらに言うならば、そう言った発言をするコメントを投稿する人物に対しての批判も含まれている。ソフトウエアの批判をしているつもりはない。何にせよ完璧なソフトウエアというものは存在しないのだから。だが、そのデメリットを隠したまま、安易に紹介することは「パソコンに詳しい人(笑)」が自分が正しいという思いこみの元行うことが多く、それについてのコメントだ。
"ご託"などと安易なレッテル張りに走る前に、まずはきちんと文章をすべて読むべきだ。
自分に都合が悪く、自分に理解できない文章を"ご託"等とレッテル張りををし、取るに足らないとしていればそれはよいだろう。ただ、それに基づいて発言するときはもう少し注意を払っていただきたい。
Re: (スコア:0, 荒らし)
>元のコメントからは「むやみやたらに普及させよう」なんていう意図は読み取れないのだが。
>単に代替となる互換リーダがあって、自分はそれを使っているとしか言っていない。
まるで政治家の答弁だな。
「私は「世の中には別の方法もあるそうだ」とは言ったが、そうしろといった覚えはない。結果どうなろうと関知しない」
>とりあえずコメント自体に噛みつきたいのか、「Foxit Reader」に噛みつきたいのか、どっちだ。
どう見ても「間抜けなパソコンに詳しい人(笑)」に苦情を言ってんだろうよ
「もうちょっと頭を使え」ってな。
わかったか?想像力がない人。
Re: (スコア:0)
なるほどと思ったので、元コメのWikipediaの記述 [wikipedia.org]を変えてみました。
ただし、挙げている問題点を全部確認していないので一部だけね。
よければ誰か続きを編集してください。
おおむね同意できるんだが (スコア:0)
「Geekのおもちゃ」ってのは、さすがに極論ではないかなぁ。
別に互換リーダーを普及させようとか思ってはいませんが、そもそもこうした互換性の話って日本(あるいはCJKVなど、マルチバイト文字圏)固有の問題なんですかね?
というのも、仕事で相手からもらうPDFの資料は興味本位で全部Producerの情報見るんですが、結構な確率で"Ghostscript"って入ってるんですよ(w
# 特に海外。比較的欧州企業からのものに多い気がします。
生のghostscript使ってるってことはないと思う(ウチも相手もIT業界じゃない)ので、おそらくはghostscriptをエンジンに使用し
Re: (スコア:0)
だったら互換製品作るんだったらもっとうまくやってよって言ってるだけ
使い物にならないものは使わない
Re: (スコア:0)
と思ったのですが。
Re:互換リーダを使うようになりました (スコア:1)
互換性リーダーだから安心というわけでもないでしょう。
任意コード実行の恐れ:PDF閲覧ソフトのFoxit Readerに脆弱性 - ITmedia エンタープライズ [itmedia.co.jp]
Re: (スコア:0)
で、その互換ソフトにはこのストーリーで問題になっているのとおなじ脆弱制がないことがわかっているのですか?
もっと致命的な脆弱制が存在している可能性もありませんか?
#互換ソフトを使うようになったからなんだというのか。
#ストーリーに関わるような話には全く触れていないオフトピックではないのか?
頻繁な更新? (スコア:0)
今回が最初の更新になるから頻繁どころか丸8ヶ月間更新がなかったわけです。
ちょうど別のストーリーで
”さび付いた知識をもとに見当外れなことを周囲に広めるのはやめてほしい”
というコメントがありましたが、まさに同じことをあなたに言いたい。
Re: (スコア:0)
頻繁な再起動(セキュリティを考えると悪いことではないけど、やはり面倒)と
ただゲームをするだけの為に際限なくおおきなディスク領域を消費するのに
辟易して、しばらく前からWindows API互換実装ソフトの『Wine』を使っています。
自宅PCとか、ゲームをするのみのPCだったらこれで十分かなぁと思います。
まぁこちらにしたからといって更新の手間が0になる訳ではありませんけどね。
既にご存じの諸兄も多いと思いますが、ご参考まで。
Wikipedia(J): Wine
http://ja.wikipedia.org/wiki/Wine [wikipedia.org]
なんで今すぐアップデートを公開しないの (スコア:0)
Re:なんで今すぐアップデートを公開しないの (スコア:1)
Seagateみたいに早急に公開すればいいんですか?
/* Kachou Utumi
I'm Not Rich... */
Firefox3.0でどうなんだ? (スコア:0)
Firefox3.0でPDFファイルを表示すると直後にFirefoxが強制終了しますが。
FirefoxもAdobe Readerも常に最新版なんですがね。
Re: (スコア:0)
うちではFirefox内でadobeのプラグインでpdf表示した場合、
pdfのページをめくった際に固まることが多いので、できるだけ保存してから
リーダを単体で起動させるようにしています
Re:Firefox3.0でどうなんだ? (スコア:3, 参考になる)
「インターネット」の「PDFをブラウザに表示」のチェックを外すと、
ダウンロードしたあとで別ウィンドウのReaderを開くようになってます。
このおかげで、PDF文書に対するアレルギーもだいぶ薄れました ;)
Re:Firefox3.0でどうなんだ? (スコア:2)
Re: (スコア:0)
FirefoxでPDFを表示させようとして、「ファイルが壊れています。修復できませんでした」
というメッセージが出て、なにも表示されないことが多々あります。ページ内にPDFを
表示させているようなページだと、リンク先を保存させても意味がなかったり。
そんなときは、URLをIEにコピペして表示させています。IEでは表示に失敗したことがないです。
いつになったら、なおるんでしょうねえ。
Re: (スコア:0)
確かNetscape時代からの問題点だと思う。
# Mozillaの中の人は、改良(いや、改悪か?)する気は無いと見た。
DownThemAll!とかを入れて、Firefox純正の(?)ダウンロードマネージャを使わなければ回避出来るのですが…。
evinceを使えばいいのに (スコア:0)
JavaScript (スコア:0)
Re:JavaScript (スコア:2, 参考になる)
JavaScriptを無効にしても攻撃できてしまうそうです。
Adobe Acrobat pdf 0-day exploit, No JavaScript needed! [sans.org]
#管理IDを増やしたくないだけのAC
Re:JavaScript (スコア:1, 参考になる)
いまだかつてそれが原因と思われる不具合にあったことは無いなあ。
#マルチメディアとかも一緒に無効化。
#あれもなんのためにあるのやら。
Re:JavaScript (スコア:1, 参考になる)
JISの規格票 [jisc.go.jp]がAdobe ReaderかつJavaScript有効でないと読めません。FoxitではJavaScriptモジュールをインストールしても効果ないようです。
つーか「俺様が見たことない=世界中の誰一人として必要としていない」みたいなのが必ずわいてくるのは何なの?
Re: (スコア:0)
いまのところ必要だったことはないよ、という事例紹介のつもりでしたが。
変に深読みされても困るんですが(汗
しかしJIS企画票ですか…見ないと仕事にならん人もいるでしょうし、面倒なことですねえ。
Re: (スコア:0)
他人の話を聞かない人に多いパターンですが。
#世界の誰も、みたいな解釈する人は珍しいなぁ‥と思った人より。
Re: (スコア:0)
Foxitならテキストビューアを使えば。
本文だけでも読めるだろ。
Re:JavaScript (スコア:1)
うちのAcrobat 8 Professionalが、PDF/X-1a:2001なファイル(そのAcrobatでプリフライトも通る)を開こうとすると、JavaScriptを有効にしないと表示されないかもよ? って言ってくる。邪魔くさい。
PDF/X-1a:2001はJavaScript禁止なはずなのに。
Re: (スコア:0)
http://www.jisc.go.jp/ [jisc.go.jp]で見られるX3010 (C++)やX3010 (C言語)のPDFがJavaScriptを要求するようになっています。JavaScriptオフだと全ページ真っ白になる嫌がらせが待っています。ごにょごにょして保存してもだめになったのが残念です。代わりに、検索ができるようになったのけど、代償が大きいと感じています(以前はスキャン画像だったがローカルに保存しても見られた)。
Re: (スコア:0)
どこ時間で3/11なんだろ? (スコア:0)
出来ればWindowsUpdateと一緒にサクッとテストPCで確認後、他のPCに展開したいんだけど…
なんとなく1日ズレてのチェックになりそうな予感