JVNDB-2009-002451

Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性

Adobe Reader および Acrobat の Doc.media.newPlayer メソッドには、解放済みメモリを使用する (use-after-free) 脆弱性が存在します。

Adobe Reader および Acrobat は、JavaScript をサポートしています。Doc.media オブジェクトの newplayer() メソッドには、解放済みメモリを使用する (use-after-free) 脆弱性が存在します。

2009年12月16日現在、本脆弱性を使用した攻撃活動が観測されています。

アドビ

• Adobe Acrobat 9.2 およびそれ以前
• Adobe Reader 9.2 およびそれ以前

レッドハット

• Red Hat Enterprise Linux Extras 3 extras 

細工された PDF ドキュメントを閲覧した場合に、アプリケーションがクラッシュしたり、任意のコードを実行されたりする可能性があります。

[アップデートする]
Adobe が提供する情報をもとに最新版へアップデートしてください。

[ワークアラウンドを実施する]
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・Adobe Reader および Acrobat で JavaScript を無効にする
・ウェブブラウザ上での PDF ファイルの表示を無効にする
　PDF 表示を無効にする設定方法は、ウェブブラウザにより異なります。
・不審な PDF ファイルを開かない
　不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。

アドビ

• Adobe Security Bulletin : APSA09-07
• Adobe Security Bulletin : APSB10-02
• Adobe セキュリティ情報 : APSA09-07
• Adobe セキュリティ情報 : APSB10-02

レッドハット

• Red Hat Security Advisory : RHSA-2010:0060

富士通

• 富士通 セキュリティ情報 : TA10-013A

1. 解放済みメモリの使用(CWE-416) [NVD評価]

1. CVE-2009-4324

1. JVN : JVNVU#508357
2. JVN : JVNTA10-013A
3. JVN Status Tracking Notes : JVNTR-2010-03
4. National Vulnerability Database (NVD) : CVE-2009-4324
5. JPCERT 緊急報告 : JPCERT-AT-2009-0027
6. 警察庁 @police : アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
7. US-CERT Cyber Security Alerts : SA10-013A
8. US-CERT Vulnerability Note : VU#508357
9. US-CERT Technical Cyber Security Alert : TA10-013A
10. CISA Known Exploited Vulnerabilities Catalog : CVE-2009-4324
11. IPA 緊急対策情報 : 20100113-adobe
12. Secunia Advisory : SA37690
13. SecurityFocus : 37331
14. ISS X-Force Database : 54747
15. VUPEN Security : VUPEN/ADV-2010-0103
16. VUPEN Security : VUPEN/ADV-2009-3518
17. The SANS Institute Diary : 7747
18. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 60980

• [2010年01月27日]
    掲載
• [2024年07月04日]
    CVSS による深刻度：内容を更新
    CWE による脆弱性タイプ一覧：内容を更新
    参考情報：CISA Known Exploited Vulnerabilities Catalog (CVE-2009-4324) を追加