JVNVU#970180
Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性

Adobe Reader および Acrobat には JavaScript メソッドである customDictionaryOpen() と getAnnots() に脆弱性が存在します。

• Adobe Reader および Acrobat (Pro, Pro Extended, and Standard) version 9.1 およびそれ以前
• Adobe Reader および Acrobat (Pro, 3D, and Standard) version 8.1.4 およびそれ以前
• Adobe Reader および Acrobat (Pro, 3D, and Standard) version 7.1.1 およびそれ以前

Adobe Reader および Acrobat は、Portable Document Format (PDF) ドキュメントを閲覧および編集するためのソフトウェアです。また、ウェブブラウザにおいて PDF ドキュメントを閲覧するためのプラグインも提供されています。

Adobe Reader および Acrobat は JavaScript をサポートしています。JavaScript メソッドである、customDictionaryOpen() と getAnnots() の引数処理に問題があり、任意のコードを実行される可能性があります。

2009年4月29日現在、Linux 上での Adobe Reader 9.1 および 8.1.4 に対する攻撃コードが公開されていること、GNU/Linux および Windows 上で細工された getAnnots() を含んだ PDF ファイルを処理する際にアプリケーションがクラッシュすることが確認されています。customDictionaryOpen() への攻撃活動は確認されていません。

細工された PDF ドキュメントをユーザが閲覧した場合に、任意のコードを実行される可能性があります。

アップデートする
Adobe が提供する情報をもとに最新版へアップデートしてください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• dobe Reader および Acrobat で JavaScript を無効化する
• ェブブラウザ上での PDF ファイルの表示を無効化する
  PDF 表示の無効化の設定方法は、ウェブブラウザにより異なります。
• 不審な PDF ファイルを開かない
  不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。
• Annots.api のファイル名を変更する、またはファイルを削除する
  本ワークアラウンドは getAnnots() メソッドへの対策であり、customDictionaryOpen() における脆弱性への対策ではありません。