公開日:2008/06/26 最終更新日:2008/08/25

JVNVU#788019
Adobe Reader および Adobe Acrobat の JavaScript メソッドに入力値を適切に処理できない脆弱性

概要

Adobe Reader および Adobe Acrobat の JavaScript メソッドには入力値を適切に処理できない脆弱性が存在します。結果として任意のコードを実行される可能性があります。

影響を受けるシステム

  • Adobe Reader 8.0 から 8.1.2 まで
  • Adobe Reader 7.0.9 およびそれ以前
  • Adobe Acrobat Professional, 3D および Standard の 8.0 から 8.1.2 まで
  • Adobe Acrobat Professional, 3D および Standard の 7.0.9 およびそれ以前

詳細情報

Adobe Reader および Adobe Acrobat は、Portable Document Format (PDF) ドキュメントを閲覧したりするためのソフトウェアです。また、ウェブブラウザにおいて PDF ドキュメントを閲覧するためのプラグインも提供されています。Adobe のセキュリティ情報 APSB08-15 によると、Adobe Reader および Adobe Acrobatでは、JavaScript メソッドにて入力値を適切に処理できないために任意のコードを実行される可能性があります。

また、Adobe によると本脆弱性に対する攻撃活動が行われていると報告されています。

想定される影響

細工された PDF ドキュメントをユーザが閲覧することによって任意のコードを実行される可能性があります。

対策方法

アップデートする
Adobe が提供する最新バージョンへアップデートしてください。

なお、以下の回避策を行うことをで想定される影響を軽減することができます。

  • ウェブブラウザ上での PDF ドキュメントの表示を無効にする
  • JavaScript を無効にする
  • 信頼できない PDF ドキュメントを開かない

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2008.06.26における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運 (条件が揃う確率は中程度) が必要
  • 低 - 中

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2008-0012
Adobe Acrobat 及び Adobe Reader の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2008-2641
VU#788019
JVN iPedia JVNDB-2008-001469

更新履歴

2008/08/25
関連文書に JVN iPedia へのリンクを追加しました。