JVNDB-2007-000003

Adobe Acrobat Reader プラグインにおけるクロスサイトスクリプティングの脆弱性

Adobe Acrobat Reader プラグインには、特定の URL の処理に不備が存在するため、一部のウェブブラウザとの併用によりクロスサイトスクリプティング攻撃を受ける脆弱性が存在します。

なお、アドビシステムズの情報によると、この脆弱性は Windows および Linux 特有の問題であると報告されています。

Mozilla Foundation

• Mozilla Firefox 1.5.0.9 およびそれ以前 (影響がある Adobe Reader バージョンを使用している場合)
• Mozilla Firefox 2.0.0.1 およびそれ以前 (影響がある Adobe Reader バージョンを使用している場合)
• Mozilla SeaMonkey 1.0.7 およびそれ以前 (影響がある Adobe Reader バージョンを使用している場合)

アドビシステムズ

• Adobe Acrobat 3D
• Adobe Acrobat 6.0.5 およびそれ以前
• Adobe Acrobat Elements 7.0.8 およびそれ以前
• Adobe Acrobat Professional 7.0.8 およびそれ以前
• Adobe Acrobat Standard 7.0.8 およびそれ以前
• Adobe Acrobat 9.1.3 およびそれ以前
• Adobe Reader 6.0.5 およびそれ以前
• Adobe Reader 7.0.8 およびそれ以前
• Adobe Reader 9.1.3 およびそれ以前

サン・マイクロシステムズ

• Sun Solaris 10 (sparc) 

ターボリナックス

• Turbolinux 10_f 
• Turbolinux Desktop 10 
• Turbolinux Multimedia
• Turbolinux Personal
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 
• ターボリナックス ホーム 

レッドハット

• Red Hat Enterprise Linux Extras 3 extras 
• Red Hat Enterprise Linux Extras 4 extras 

第三者が巧妙に細工したウェブページを開いた際に標的ユーザのブラウザセッション内に任意の JavaScript を挿入される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
アドビシステムでは影響を受けるソフトウェアのバージョンアップの対策以外に Web サイト運営者向けの回避策 (APSA07-02) を提供しています。

また Mozilla では、Adobe Reader のアップグレードの必要性に気付いていないユーザを保護するために、この脆弱性を悪用するリクエストをブロックするバージョンがリリースされています。

Mozilla Foundation

• Mozilla Foundation Security Advisory : mfsa2007-02
• Mozilla Foundation セキュリティアドバイザリ : mfsa2007-02

アドビシステムズ

• Adobe Security advisory : APSA07-01
• Adobe Security advisory : APSA07-02
• Adobe Security Bulletin : APSB07-01
• Adobe Security Bulletin : APSB09-15
• Adobe セキュリティ情報 : APSA07-02
• Adobe セキュリティ情報 : APSB07-01
• Adobe セキュリティ情報 : APSB09-15

サン・マイクロシステムズ

• Sun Alert Notification : 102847
• Sun Alert Notification : 270669
• Sun Alert Notification 日本語版 : 102847

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2007-13
• 製品セキュリティ情報 : TLSA-2007-13

レッドハット

• Red Hat Security Advisory : RHSA-2007:0017
• Red Hat Security Advisory : RHSA-2007:0021

富士通

• 富士通 セキュリティ情報 : TA09-286B

1. CVE-2007-0045

1. JVN : JVNTA09-286B
2. JVN Status Tracking Notes : JVNTR-2009-24
3. National Vulnerability Database (NVD) : CVE-2007-0045
4. JPCERT 緊急報告 : JPCERT-AT-2009-0021
5. US-CERT Cyber Security Alerts : SA09-286B
6. US-CERT Vulnerability Note : VU#815960
7. US-CERT Technical Cyber Security Alert : TA09-286B
8. IPA 緊急対策情報 : Adobe Reader および Acrobat の脆弱性(APSB09-15)について
9. Secunia Advisory : SA23483
10. FrSIRT Advisories : FrSIRT/ADV-2007-0032
11. VUPEN Security : VUPEN/ADV-2009-2898

• [2007年04月01日]
    掲載
  [2009年11月02日]
    影響を受けるシステム：  アドビシステムズ (APSB09-15) の情報を追加
    ベンダ情報：アドビシステムズ (APSB09-15) を追加
    ベンダ情報：サン・マイクロシステムズ (270669) を追加