Adobe ReaderとAcrobatを狙ったゼロデイ攻撃が確認される 19
ストーリー by hylom
内容が不明かどうか中を見ないと分からない場合は…… 部門より
内容が不明かどうか中を見ないと分からない場合は…… 部門より
あるAnonymous Coward 曰く、
Adobe ReaderとAcrobatに未解決の脆弱性が確認された模様。これを利用して攻撃を行う不正なPDFも出回っているという(ITmedia)。
Adobeのセキュリティアドバイザリによると、問題となっているのはAdobe ReaderおよびAdobe Acrobat 11系の11.0.01以前および10系の10.1.5以前、9系の9.5.3および9.x。Windows版とMac版両方に問題があるという。また、Windows版では「Protected View」機能を有効にすることで対策できるとされている。
Protected View(保護されたビュー)機能を有効にする (スコア:4, 参考になる)
窓の杜が、スクリーンショット付きで解説してます。
http://www.forest.impress.co.jp/docs/news/20130214_587744.html [impress.co.jp]
Re:Protected View(保護されたビュー)機能を有効にする (スコア:3, 参考になる)
これ、設定すると毎回画面に警告が出るうえに、「保護されたビュー」だとフルスクリーン化できない/印刷できない/文書のプロパティが見られない、と制限がきついんですよね。
保護解除ボタンは画面上部に表示されるんですけど、そこで解除してしまったら設定した意味がないし……。
「Protected View」→「保護されたビュー」 (スコア:3, 参考になる)
「Protected View」機能は、日本語版では「保護されたビュー」機能ですね。初期設定では無効です。Microsoft Officeにも同様の機能がありますね。
Acrobat/PDF保護されたビュー機能 [adobe.com]
Acrobat X に「保護されたビュー」なんか有りません! (スコア:2)
そもそも「Protected View」などと書いているという事は、米国の Adobe の英語の脆弱性情報を読んで、なるべく問題を過小に見せようとするベンダの表現を「善意に誤解」し、手元の日本語版の Acrobat で内容を確認すらしていない証拠である。だから「Protected View」なんて、英語のまま書いてしまう。
この事実を目にして、各種脆弱性情報を見ると、かなり「笑うに笑えない」状況が見えてくる。
Acrobat X は回避策が取れない事を明言している&ちゃんと解っている
Acrobat X は回避策が取れない事を明言していないが、解ってはいそう
Acrobat X は回避策が取れない事を明言していないし、解っていなさそう
Acrobat X は回避策が取れない事を全然、解っていない
情報を出していない
いや…仕事しろよ、某所(複数)。これ、攻略PDF をメール添付で標的型で実害出てるんだし。手元の日本語版の Acrobat で内容を確認すればすぐ解る事も書いていないということは、注意喚起している団体の内部が、自分達は全然対策していないと言っているに等しいのだが。
いいから自動アップデート付けろ (スコア:0)
Acrobatはしょうがないとしても、ReaderだけはFlash Playerみたいに自動アップデートにしてほしい。何でしないの? 嫌なの? 馬鹿なの?
毎度毎度ユーザーにアップデート作業させるのがどれほどうっとうしいか分かってるんだろうか。
Re:いいから自動アップデート付けろ (スコア:1)
いずれにせよ今回の問題に対応したアップデートはまだ出てないけど
Re:いいから自動アップデート付けろ (スコア:1)
たかがアプリのくせに、アップデート後にOSを再起動しなきゃならない方が鬱陶しい。
Re: (スコア:0)
http://helpx.adobe.com/jp/acrobat/kb/cq10291847.html [adobe.com]
OSやバックグランドという単語が出ていないので何に対して怒っているのかしりませんが、検索ぐらいしましょうよ
Re: (スコア:0)
元コメは作業させるのが鬱陶しいって言ってるから、そんな設定すらしたくないんじゃないの。
Re:いいから自動アップデート付けろ (スコア:1)
むしろアップデートの度に自動アップデートに変更しようとするのが鬱陶しい。
Re: (スコア:0)
それにしても「付けろ」はないだろ
Windows8 (スコア:0)
そういえば、Windows8ではモダンUIのPDFリーダーがついてますが、あれはどの程度安全なんだろう?
機能が少ない分安全ならフルスクリーン遷移を我慢して使ってみる価値があるかな。
Re:Windows8 (スコア:1)
モダンUIはサンドボックスの中で動いているから、Acrobatの「保護されたビュー」と同程度以上には安全なように思えますが、実際のところどうなんでしょうね。
Re: (スコア:0)
Adobe Reader 8だか9だかあたりからPDFに埋め込んだFlash表示用のFlash Playerが同梱されるようになったのでFlash Playerに脆弱性が見つかると自動的にAdobe Readerも攻撃可能になったという話ですけど今でもそうなんでしょうか。
Re: (スコア:0)
PDFって規格の理念は良かったのに、ネットの成熟に乗り遅れまいとインタラクティブな機能や動画埋め込めるようにしたりとかしたせいで、必要以上にセキュリティリスクを抱え込んでしまってるのはアホだなぁ。
迂闊にアップデートできない (スコア:0)
Adobe製品のアップデートでは度々トラブルが発生するため、弊社では自動更新を切っています。
アプリケーションが起動しなくなったり、
http://blogs.adobe.com/iwamoto/2010/01/acrobat.html [adobe.com]
印刷できなくなったり。
http://helpx.adobe.com/jp/acrobat/kb/cpsid_89251.html [adobe.com]
「脆弱性」は怖いのですが、印刷機が止まる恐怖に比べれば屁でもありません。
どんなに緊要なアップデートであったとしても、慎重の上にも慎重にならざるを得ないのです。
Re: (スコア:0)
そんな重要なPCをネットに繋ぐなよ
Re: (スコア:0)
そんな重要なPCをネットに繋ぐなよ
そんな重要なPCをネットに繋ぐなよ
って誰この娘め?