公開日:2009/05/14 最終更新日:2015/10/21

JVNTA09-133B
Adobe Reader および Acrobat における脆弱性
緊急

概要

Adobe Reader および Adobe Acrobat には、JavaScript の処理に脆弱性が存在します。

影響を受けるシステム

  • Adobe Reader および Acrobat (Pro, Pro Extended, and Standard) version 9.1 およびそれ以前
  • Adobe Reader および Acrobat (Pro, 3D, and Standard) version 8.1.4 およびそれ以前
  • Adobe Reader および Acrobat (Pro, 3D, and Standard) version 7.1.1 およびそれ以前

詳細情報

Adobe Reader および Adobe Acrobat は、Portable Document Format (PDF) ドキュメントを閲覧および編集するためのソフトウェアです。また、ウェブブラウザにおいて PDF ドキュメントを閲覧するためのプラグインも提供されています。
Adobe Reader および Adobe Acrobat には、JavaScript の処理に脆弱性が存在します。

想定される影響

細工された PDF ドキュメントをユーザが閲覧した場合に、任意のコードを実行される可能性があります。

対策方法

アップデートする
Adobe が提供する情報をもとに最新版へアップデートしてください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • Adobe Reader および Acrobat で JavaScript を無効化する
  • ウェブブラウザ上での PDF ファイルの表示を無効化する
    PDF 表示の無効化の設定方法は、ウェブブラウザにより異なります。
  • 不審な PDF ファイルを開かない
    不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。
  • Annots.api のファイル名を変更する、またはファイルを削除する
    本ワークアラウンドは getAnnots() メソッドへの対策であり、customDictionaryOpen() における脆弱性への対策ではありません。

ベンダ情報

ベンダ リンク
Adobe APSB09-06
富士通 TA09-133Bに対する富士通の情報

参考情報

  1. [[US-CERT Vulnerability Note VU#970180
    Adobe Reader and Acrobat customDictionaryOpen() and getAnnots() JavaScript vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA09-133B
Adobe Reader and Acrobat JavaScript Vulnerabilities
CPNI Advisory
TRnotes
CVE CVE-2009-1492
[[CVE-2009-1493:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1493]]
JVN iPedia

更新履歴

2009/05/20
対策方法を更新しました。
2009/05/21
ベンダ情報に富士通のリンクを追加しました。
2009/06/17
影響を受けるシステムの誤植を修正しました。
2015/10/21
ベンダ情報を更新しました