パスワードを忘れた? アカウント作成
7672 story

Acrobat Reader 5.1にシステム乗っ取りを許す脆弱性 58

ストーリー by wakatono
怪しいXFDFは疑うが吉? 部門より

Anonymous Coward曰く、"Japan.internet.comによると、英国のセキュリティコンサルタント会社 NGSSoftware は4日、「Adobe Acrobat Reader」の一部のバージョンに、システム乗っ取りを許しかねない極めて危険度の高いセキュリティ上の脆弱性があると警告したそうだ。該当のバージョンは Acrobat Reader のバージョン 5.1 で、開発元の Adobe は、最新版の「Adobe Reader 6.0」にアップグレードするようユーザーに呼びかけている。 Acrobatはファイル形式の普及率は高いものの、Readerのバージョン管理はあまり厳密には行なわれていないのではないかと思うので、心当たりのある人は早急にアップデートした方がいいと思う。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • えっと、Acrobat 5.x と Acrobat Reader 6.0 の共存って、可能でしたっけ?

    --
    むらちより/あい/をこめて。
    • by gallop-t (18066) on 2004年03月05日 21時41分 (#508500) 日記
      近々案件がありそうなのでやってみました。

      現在の環境 WinXP+SP1+HotFix and Acrobat 5.05 に
      Adobe Reader 6 [adobe.co.jp]
      をインストール。
      # Alubm 2.0 mini 一緒になったみたい。あらら(その1)?。

      インストール直後;
      1. アイコンからは6が起動
      2. IEからはpdfな文書をクリックすると5で立ち上がる。

      再起動後;
      1. アイコンからは5が起動
      2. IEからはpdfな文書をクリックすると5で立ち上がる。
      3. 6をインストールフォルダから直接クリック5が立ち上がる。
      あらら(その2)。

      探る必要はある。(めんどくさ。)
      それ以前に、XFDFを使うのはフォーム送信系が多いと思ったんですが、
      6のスタンダードじゃ作れないんですね。
      5だとIMEのON制御がおかしくてカナ入力になったりするので、
      うーん。どないしよ。
      親コメント
  • by Anonymous Coward on 2004年03月05日 15時27分 (#508320)
    6.0は重くなったり検索が変わったりプラグインとして使用
    している時の挙動が変わったり(うまく終了しなかったりするし…)と
    大変使い勝手が悪いので心の底からバージョン上げたくない気持ちでいっぱいです。

    #システムを再インストールする時も昔のCDから5.1を探して
    #入れてるくらいだしな…

    脆弱性が見つかった形式のMIMEタイプに反応しないようにすれば
    当面は逃げられる…のだろうか?
    • by MIYU (17727) on 2004年03月05日 16時06分 (#508354)
      3/4のIT Pro [nikkeibp.co.jp]によると、
      XFDFファイルはデフォルトでAcrobat Readerに関連付けられているので,ファイル・アイコンをダブルクリックすれば,Acrobat Readerが起動して読み込まれる
      拡張子が.xfdfではないファイルでも,MIMEタイプが「application/vnd.adobe.xfdf」に設定されていれば,Internet Explorer(IE)などはXFDFファイルとして取り扱う
      結果がバッファ・オーバーフローですのでアップデートが吉かと。
      重いのは「Adobe Reader SpeedUp」 [impress.co.jp]でどうでしょう?

      でも、 Adobeの日本のサイト [adobe.co.jp]には一言も説明が無いですね(16:00現在)。ユーザーに呼びかけている様子は少しも見られません。危険度はとても高いし、日本でも昨日から報道されているのに、と思ってはいけないのでしょうか ?

         # 「 Acrobat Reader は無料だから」ではないと思いますが
      親コメント
      • Re:心当たりはあるけど (スコア:2, おもしろおかしい)

        by MatsuTake (16700) on 2004年03月05日 22時14分 (#508518)
        でも、 Adobeの日本のサイト [adobe.co.jp]には一言も説明が無いですね(16:00現在)。ユーザーに呼びかけている様子は少しも見られません。
        adobe.comでも特に説明があるようには見えないですね。呼びかけているのはNGSSoftwareでAdobeではないような。
        # 「 Acrobat Reader は無料だから」ではないと思いますが
        以前、Acrobatのセキュリティホール情報 [adobe.co.jp]が出たときに、日本サイトには情報がなかったので、電話して聞いてみたことがあります。サポートは有料なので、カスタマーインフォメーションセンターに問い合わせたところ、「日本語版にはセキュリティホールはありません」という回答がありました。
        親コメント
      • 過去にもセキュリティホールがあったけど、そのときも差替えただけでした...
        その程度の会社なんでしょうね
    • 銀行の口座明細の印刷などでも6.0は問題が出るので、 http://www.btm.co.jp/BizSTATION/service/kankyou.htm 5.* がダウンロード出来るようになってます。
      親コメント
    • 6.0に関して言うならば、オレは単純に起動時にでるごついスプラッシュ画面が嫌いだね。
  • WindowsXP+SP1な環境下でAcrobat Reader5.Xは問題を起こす [adobe.co.jp]ので、
    パッチを当てないとまともにWindowsが使えなくなるとはいえ、
    Acrobat Reader6.0は要らない機能が沢山付いてるのが嫌ですね。

    起動に20秒とか掛かるのもやってられん・・・
    あと、スタートメニューのショートカットを弄ると、
    毎回修復が掛かるのは如何なものかと。

    ビューアは、軽くて再現してくれるだけでいいのに。
  • by Anonymous Coward on 2004年03月05日 15時38分 (#508334)

    Linux上でMozilla+plugger+AcrobatReader5という組み合わせで使っているのですが、
    このような環境でもこの脆弱性の影響を受けるのでしょうか?

    Windows用はVer.6以降にアップデートすればいいでしょうが、
    UNIX/Linux用はVer.5までしか提供されていないし...。

    • by oddmake (1445) on 2004年03月05日 15時48分 (#508338) 日記
      リンク先の情報によると、(Win32APIの)OutputDebugString()を安全でないやり方で呼び出すのが問題 [nextgenss.com]であるようなので、Linuxは大丈夫かなぁ、と。

      # 勘違いしてたらゴメソ
      --
      /.configure;oddmake;oddmake install
      親コメント
      • OutputDebugStringではなくて、それに渡す文字列をsprintfで生成するところが問題、と書いてありますね。

        When the xfdf file is parsed an unsafe call to sprintf is made in
        preparation for outputting a debug message using OutputDebugString.


        おそらく

        char tmp[決めうちサイズ];
        sprintf(tmp, format, xfdfのどっかのフィールドとかごにょごにょ);
        OutputDebugString(tmp);

        とかなってるんじゃないですかね?

        まあおそらくOutputDebugStringに渡す文字列を作るために適当に書いたコードでしょうから、Windows版固有の問題である可能性は高いとは思いますが、問題がsprintfである以上他のプラットフォームにも同様の問題はないとは断言できません。

        と、書いてて思ったのですが、件のリリース [nextgenss.com]には、対象となるプラットフォームについて一言も書かれてないんですね。OutputDebugStringというAPIでかろうじてWindowsの話だとわかるわけで。なんだかな。
        親コメント
      • 呼出側の問題ということは
        Linux版も類似のAPIを
        同じように不適切な処理で呼び出しているのではないかと
        危惧してしまうのだが
        いかんせんソース公開していないので
        どうにもその危惧を払拭できぬ
      • by Anonymous Coward
        リリース版にOutputDebugString入れるな。
        わざわざsprintfまで生かしておいて。。。

        # コードある所にバグあり
    • Re:Linux(とUNIX)は? (スコア:2, 参考になる)

      by one-one (17888) on 2004年03月05日 19時42分 (#508457) 日記

      今回の件はわかりませんが,

      なんかにも気をつけたほうがいいかもしれません.
      下のはどう考えてもおまけというか今更だけど:-p

      おまけついでに Peachy [itmedia.co.jp]なんてのもありましたね.
      『PDFは安全』と疑わない人も多いですが そうでもないんですよね.

      親コメント
  • どうしようかな、、、と悩んでいたら、プレビューと言う名前の
    アプリケーションでPDFが見ることが出来たみたいです。

    あ、これMacだった。。。
    --

    There is no spoon.
    • by targz (14071) on 2004年03月06日 0時29分 (#508584) 日記
      Mac OS Xは画面表示もPDFですから、そこに脆弱性があったら、OSを乗っとれてしまったりして:-)

      Mac OS XではPDFを見る方法が3つ以上ある (Preview,app, Acrobat Reader.app, PDF Browser Plugin など) のでいいですが、Mac OS 9以前はAcrobat Reader 5.x しかないので、OS 9ユーザは困ってしまいますね。もはや OS 9は使うべきではない??
      親コメント

  • 日本のダウンロードサイト
    [adobe.co.jp]にも米国のダウンロードサイト [adobe.com]にも
    5.0.5まてしか見当たらないんですが、商品版に付属でもしてたんでしょうか?

    # 昨日アドビから電話がかかってきたので、何だ? と思ったが、
    # e-Learningに登録してたから感想を聞くセールスの電話でした。
  • アドバイザリ [nextgenss.com]には、
    • Windows 版の Acrobat Reader 5.1 にバッファオーバフローがある(厳密には Windows 版とも書いてないけど…… #508568 [srad.jp] 参照)。
    • 最新版(6.0.1?)にはこの弱点はない。
    としか書かれていないわけで、わからないことだらけ……。
    • Acrobat Reader 5.0.x はどうか? (まあ書いてない以上、危険と思ったほうが良いけど)
    • Windows 版以外の Acrobat Reader はどうか?(〃)
    • Reader でない Acrobat はどうか?(〃)
    Adobe Forums に「5.1 以外のバージョンはどうなんですか」という質問 [adobeforums.com]が載っているけど、今のところ返事なし。

    これだけの情報では、本当に弱点があるのかどうなのかすらわかりません。もう少し詳しい情報が Adobe なり発見者なりから出ることを期待したいです。
    --
    鵜呑みにしてみる?
  • by Anonymous Coward on 2004年03月05日 16時29分 (#508366)
    ・起動が重い
    ・ブラウザプラグインした際、(デフォルトでは)ファイルを一度に
     全部拾ってくれない(設定で回避可)
     長い文書の最初の方だけを読むには有効なのかも知れないけど…。

    悪くない点もあって、
    ・PDF ファイルの、前回開いたページを覚えててくれる(初期状態
     では eBook のみだけど)。ブラウザから開いた PDF でも有効。
    • 良い点は、インデックスファイルがあれば高速にクエリ検索が出来るところですね。ファイル数で760あまり、ページ数で1800ページほどある仕様書(1モジュール1ファイルなんだよね)を数秒で検索できるのは快適です。

      問題はAcrobat 6 が無いとインデックスが作成できないこと。(インデックスの利用はReaderからでも出来ます)

      他にも頻繁に検索をかけるファイルに対してはバッファに検索結果を保存してくれるので検索が早くなります。というわけで、大量にあるドキュメントから目的の情報をさっと取り出したいときには 6 がいいですね。ぼくは仕事中はずっとAcrobat 6を立ち上げっぱなしにしておくことが多いんですけど、昨日久しぶりにReader 4を起動したら一瞬で起動したのでめまいがしたのは事実ですが。
      親コメント
    • 良い点
      ・ビットマップフォント埋め込みのしょぼいPDFファイルもアンチエイリアスをかけて表示&印刷してくれるのできれい。

      ・印刷が全般にきれいになった。

      ・イラストレータでアウトラインをとったPDFファイルでもちゃんと表示される。以前のバージョンだと太ってしまい見られたものではなかった。

      つーわ
  • by Anonymous Coward on 2004年03月05日 17時00分 (#508382)
    確かWindows98には6.0は入れられなかったと思うのですが、
    未だに旧いOSを使っている人は回避できないんですかねぇ・・・。
    • by Anonymous Coward
      Acrobat Reader 4.xを入れるってことで。(ぇ
    • by Anonymous Coward
      >未だに旧いOSを使っている人は回避できないんですかねぇ・・・。
      そういう人は相手にしてません(たぶん)・・・。

      そうあって欲しいと思う。
      いやそうあるべきだ。
      そうでなければならない。
    • by Anonymous Coward
      今回のを気にするのは結構ですが、MS04-003やMS04-007のセキュリティパッチはちゃんと(お金を払って)MSから入手してますか?
      • by Anonymous Coward
        へー、MS04-003のセキュリティホールってWin98にもあるんだぁ、はつみみ。
    • by Anonymous Coward
      そんなことよりも、Windows 98自体が非常に脆弱ですよ。
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...