Adobe Reader、6月に報告された脆弱性の一部が未修正 11
ストーリー by headless
脆弱 部門より
脆弱 部門より
tamo 曰く、
GoogleのセキュリティーチームがChrome内蔵のPDFリーダーに実行したファズテストと同様の手法でAdobe Readerを調査したところ、クラッシュを引き起こす脆弱性が60個発見されたそうです( gynvael.coldwindの記事、 The H Openの記事、 本家/.)。
60個の脆弱性のうち、攻撃に利用される可能性のあるものは40個。Adobeには6月下旬に報告されていますが、8月14日に公開されたアップデートAPSB12-16ではWindows版とMac OS X版で計16個の脆弱性が修正されないまま残されており、Linux版はアップデートが公開されていません。
これらの脆弱性が攻撃に使われているという証拠はないものの、Windows版やMac OS X版で修正済みの脆弱性は修正前後のバイナリーの差分から容易に見つけることができます。また、ファズテストに使用したサンプルは公開されているPDFファイルをビット反転などの細工を施したものなので、ブラウザー用のAdobe Readerプラグインを無効化し、メールに添付されたPDFファイルなど、外部から受け取ったPDFファイルを開かないことが推奨されています。Windows版のユーザーはサンドボックス機能の搭載されたAdobe Reader Xを使用することで、攻撃を受けにくくなるとのことです。
クラッシュ≠脆弱性 (スコア:5, 参考になる)
クラッシュ数と脆弱性を混同した記事になってしまっていますが、
Google の人のブログでは、クラッシュ数とコード変更数と脆弱性をちゃんと分けていますよ。("Unfortunately, sixteen more crashes affecting Windows, OS X, or both systems remain unpatched. Considering that fixing the first twenty four crashes took twelve unique code fixes, it is expected that the remaining crashes might represent around eight more unique problems.")
タレコミでもそうなってるのに……。
Re:クラッシュ≠脆弱性 (スコア:1)
ここんとこのheadlessのタレコミ改悪がひどすぎるな
そろそろ (スコア:1)
XPSに移行すべきではないか?(提案)
Re: (スコア:0)
なかなかそうは問屋が卸さんでしょうね
Preview.appはどうだったのかな? (スコア:0)
OSXではデフォルトのPDFビューアが内蔵されているのでそっちの方がどうなのかが気になります。
Adobe Readerを入れてる人って多くないんじゃないですかね?
Re: (スコア:0)
同じく、Windows8 の Reader アプリではどうなっているのか気になります。
# Release Preview 版で自炊した PDF がヌルヌル読めたので常用予定。
Re: (スコア:0)
同じく、pdf.jsが(ry
# これにローカル権限を奪取できるような脆弱性があったらむしろブラウザの脆弱性だけど
Adobeはホント駄目やなぁ (スコア:0, 荒らし)
まさに癌やね
面倒だからもう結構 (スコア:0)
Readerご時のアップデートで
OS再起動要求されるとかもうね
PDFビュアなんて
アップデートも裏で頻繁にしてくれる
Google Chromeでいいやって気がしてます
# プロセス分離型で追加でEMETも使ってればなんでもいいよね
Re: (スコア:0)
テキストファイルで十分な程度の文書しか意図通りに観覧できないクソなビューアつかってるくせに
ちょっと凝った(つまりPDFで配布する価値のある)文章を「上手く読めません」とか言い出さなければそれでもいいと思いますよ。
あえて取り上げるまでもない (スコア:0)
Adobeらしい平常運行なんだし