情報源
US-CERT Vulnerability Note VU#970180
Adobe Reader and Acrobat customDictionaryOpen() and getAnnots() JavaScript vulnerabilities
http://www.kb.cert.org/vuls/id/970180
DOE-CIRC Technical Bulletin T-120
Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-120.shtml
概要
Adobe Reader および Acrobat の JavaScript の処理に脆弱性がありま
す。結果として、遠隔の第三者が細工した PDF ファイルをユーザに閲
覧させることで任意のコードを実行する可能性があります。なお、攻撃
コードが公開されていることが確認されています。
対象となる製品およびバージョンは以下のとおりです。
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 9.1 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 8.1.4 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 7.1.1 およびそれ以前
また、PDF ドキュメントを閲覧するためのプラグインも影響を受ける可
能性があります。
2009年5月12日現在、この問題に対する解決策は提供されていません。
回避策としては、Adobe Reader および Acrobat で JavaScript を無効
化するなどの方法があります。なお、Adobe は 米国時間 2009年5月12
日に対策版の公開を予定しています。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#970180
Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性
http://jvn.jp/cert/JVNVU970180/index.html
関連文書 (英語)
Adobe Security bulletin APSA09-02
Buffer overflow issues in Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-02.html
Adobe Product Security Incident Response Team (PSIRT)
Adobe Reader Issue Update
http://blogs.adobe.com/psirt/2009/05/adobe_reader_issue_update.html
