公開日:2009/06/10 最終更新日:2009/09/11

JVNVU#568153
Adobe Reader および Acrobat の JPX データ処理における複数の脆弱性

概要

Adobe Reader および Acrobat には、JPX データの処理において複数の脆弱性が存在します。

影響を受けるシステム

  • Adobe Reader および Acrobat (Pro, Pro Extended, and Standard) version 9.1.1 およびそれ以前
  • Adobe Reader および Acrobat (Pro, 3D, and Standard) version 8.1.5 およびそれ以前
  • Adobe Reader および Acrobat (Pro, 3D, and Standard) version 7.1.2 およびそれ以前

詳細情報

Adobe Reader および Acrobat は、Portable Document Format (PDF) ドキュメントを閲覧および編集するためのソフトウェアです。また、ウェブブラウザにおいて PDF ドキュメントを閲覧するためのプラグインも提供されています。

Adobe Reader および Acrobat には JPX (JPEG2000) データの処理においてメモリ破損など複数の脆弱性が存在します。

想定される影響

細工された PDF ドキュメントをユーザが閲覧した場合に、アプリケーションがクラッシュしたり、任意のコードが実行される可能性があります。

対策方法

アップデートする
Adobe が提供する情報をもとに最新版へアップデートしてください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • Adobe Reader および Acrobat で JavaScript を無効にする
  • ウェブブラウザ上での PDF ファイルの表示を無効にする
    PDF 表示を無効にする設定方法は、ウェブブラウザにより異なります。
  • 不審な PDF ファイルを開かない
    不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。
  • Adobe Reader および Acrobat の Windows Shell 拡張を無効にする。
  • Adobe Reader および Acrobat のインデックスサービスフィルタを無効にする。

ベンダ情報

ベンダ リンク
Adobe APSB09-07

参考情報

  1. US-CERT Vulnerability Note VU#568153
    Adobe Reader contains multiple vulnerabilities in the processing of JPX data
  2. @police
    アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-1861
JVN iPedia JVNDB-2009-001819

更新履歴

2009/06/17
影響を受けるシステムの誤植を修正しました。
2009/09/11
関連文書に JVN iPedia へのリンクを追加しました。