パスワードを忘れた? アカウント作成
6070943 story
バグ

Adobe Reader、6月に報告された脆弱性の一部が未修正 11

ストーリー by headless
脆弱 部門より
tamo 曰く、

GoogleのセキュリティーチームがChrome内蔵のPDFリーダーに実行したファズテストと同様の手法でAdobe Readerを調査したところ、クラッシュを引き起こす脆弱性が60個発見されたそうです( gynvael.coldwindの記事The H Openの記事本家/.)。

60個の脆弱性のうち、攻撃に利用される可能性のあるものは40個。Adobeには6月下旬に報告されていますが、8月14日に公開されたアップデートAPSB12-16ではWindows版とMac OS X版で計16個の脆弱性が修正されないまま残されており、Linux版はアップデートが公開されていません。

これらの脆弱性が攻撃に使われているという証拠はないものの、Windows版やMac OS X版で修正済みの脆弱性は修正前後のバイナリーの差分から容易に見つけることができます。また、ファズテストに使用したサンプルは公開されているPDFファイルをビット反転などの細工を施したものなので、ブラウザー用のAdobe Readerプラグインを無効化し、メールに添付されたPDFファイルなど、外部から受け取ったPDFファイルを開かないことが推奨されています。Windows版のユーザーはサンドボックス機能の搭載されたAdobe Reader Xを使用することで、攻撃を受けにくくなるとのことです。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年08月19日 17時23分 (#2214648)

    クラッシュ数と脆弱性を混同した記事になってしまっていますが、
    Google の人のブログでは、クラッシュ数とコード変更数と脆弱性をちゃんと分けていますよ。("Unfortunately, sixteen more crashes affecting Windows, OS X, or both systems remain unpatched. Considering that fixing the first twenty four crashes took twelve unique code fixes, it is expected that the remaining crashes might represent around eight more unique problems.")
    タレコミでもそうなってるのに……。

  • by Anonymous Coward on 2012年08月19日 19時51分 (#2214700)

    XPSに移行すべきではないか?(提案)

    • by Anonymous Coward

      なかなかそうは問屋が卸さんでしょうね

  • by Anonymous Coward on 2012年08月19日 16時57分 (#2214633)

    OSXではデフォルトのPDFビューアが内蔵されているのでそっちの方がどうなのかが気になります。
    Adobe Readerを入れてる人って多くないんじゃないですかね?

    • by Anonymous Coward

      同じく、Windows8 の Reader アプリではどうなっているのか気になります。
      # Release Preview 版で自炊した PDF がヌルヌル読めたので常用予定。

      • by Anonymous Coward

        同じく、pdf.jsが(ry
        # これにローカル権限を奪取できるような脆弱性があったらむしろブラウザの脆弱性だけど

  • by Anonymous Coward on 2012年08月19日 18時03分 (#2214657)

    まさに癌やね

  • by Anonymous Coward on 2012年08月19日 18時27分 (#2214668)

    Readerご時のアップデートで
    OS再起動要求されるとかもうね

    PDFビュアなんて
    アップデートも裏で頻繁にしてくれる
    Google Chromeでいいやって気がしてます

    # プロセス分離型で追加でEMETも使ってればなんでもいいよね

    • by Anonymous Coward

      テキストファイルで十分な程度の文書しか意図通りに観覧できないクソなビューアつかってるくせに
      ちょっと凝った(つまりPDFで配布する価値のある)文章を「上手く読めません」とか言い出さなければそれでもいいと思いますよ。

  • by Anonymous Coward on 2012年08月19日 18時49分 (#2214679)

    Adobeらしい平常運行なんだし

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...