【活用ガイド】

JVNDB-2009-001819

Adobe Reader および Acrobat の JPX データ処理における複数の脆弱性

概要

Adobe Reader および Acrobat には、JPX データの処理において複数の脆弱性が存在します。

Adobe Reader および Acrobat は、Portable Document Format (PDF) ドキュメントを閲覧および編集するためのソフトウェアです。また、ウェブブラウザにおいて PDF ドキュメントを閲覧するためのプラグインも提供されています。

Adobe Reader および Acrobat には JPX (JPEG2000) データの処理においてメモリ破損など複数の脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


アドビシステムズ
  • Adobe Acrobat (Pro, Pro Extended, and Standard) version 9.1.1 およびそれ以前 
  • Adobe Acrobat (Pro, 3D, and Standard) version 8.1.5 およびそれ以前 
  • Adobe Acrobat (Pro, 3D, and Standard) version 7.1.2 およびそれ以前 
  • Adobe Reader (Pro, Pro Extended, and Standard) version 9.1.1 およびそれ以前 
  • Adobe Reader (Pro, 3D, and Standard) version 8.1.5 およびそれ以前 
  • Adobe Reader (Pro, 3D, and Standard) version 7.1.2 およびそれ以前 
サン・マイクロシステムズ
  • Sun Solaris 10 (sparc) 
レッドハット
  • Red Hat Enterprise Linux Extras 3 extras 
  • Red Hat Enterprise Linux Extras 4 extras 
  • Red Hat Enterprise Linux Extras 4.8.z extras 
  • RHEL Desktop Supplementary 5 (client) 
  • RHEL Supplementary 5 (server) 
  • Red Hat Enterprise Linux EUS 5.3.z (server) 

想定される影響

細工された PDF ドキュメントをユーザが閲覧した場合に、アプリケーションがクラッシュしたり、任意のコードが実行される可能性があります。
対策

[アップデートする]
 Adobe が提供する情報をもとに最新版へアップデートしてください。

[ワークアラウンドを実施する]
 対策版を適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* Adobe Reader および Acrobat で JavaScript を無効にする
* ウェブブラウザ上での PDF ファイルの表示を無効にする
  PDF 表示を無効にする設定方法は、ウェブブラウザにより異なります。
* 不審な PDF ファイルを開かない
 不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。
* Adobe Reader および Acrobat の Windows Shell 拡張を無効にする。
* Adobe Reader および Acrobat のインデックスサービスフィルタを無効にする。
ベンダ情報

アドビシステムズ サン・マイクロシステムズ
  • Sun Alert Notification : 265330
レッドハット 富士通
  • 富士通 セキュリティ情報 : TA09-161A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2009-1861
参考情報

  1. JVN : JVNTA09-161A
  2. JVN : JVNVU#568153
  3. JVN Status Tracking Notes : JVNTR-2009-15
  4. National Vulnerability Database (NVD) : CVE-2009-1861
  5. 警察庁 @police : アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
  6. US-CERT Vulnerability Note : VU#568153
  7. US-CERT Technical Cyber Security Alert : TA09-161A
  8. Secunia Advisory : SA35496
  9. Secunia Advisory : SA34580
  10. SecurityFocus : 35295
  11. SecurityFocus : 35274
  12. SecurityTracker : 1022361
  13. VUPEN Security : VUPEN/ADV-2009-1547
更新履歴

  • [2009年07月28日]
      掲載
    [2009年09月10日]
      影響を受けるシステム:サン・マイクロシステムズ (265330) の情報を追加
      ベンダ情報:サン・マイクロシステムズ (265330) を追加

公表日2009/06/10
登録日2009/07/28
最終更新日2009/09/10