Acrobat Reader 5.1にシステム乗っ取りを許す脆弱性 58
ストーリー by wakatono
怪しいXFDFは疑うが吉? 部門より
怪しいXFDFは疑うが吉? 部門より
Anonymous Coward曰く、"Japan.internet.comによると、英国のセキュリティコンサルタント会社 NGSSoftware は4日、「Adobe Acrobat Reader」の一部のバージョンに、システム乗っ取りを許しかねない極めて危険度の高いセキュリティ上の脆弱性があると警告したそうだ。該当のバージョンは Acrobat Reader のバージョン 5.1 で、開発元の Adobe は、最新版の「Adobe Reader 6.0」にアップグレードするようユーザーに呼びかけている。 Acrobatはファイル形式の普及率は高いものの、Readerのバージョン管理はあまり厳密には行なわれていないのではないかと思うので、心当たりのある人は早急にアップデートした方がいいと思う。"
製品版旧バージョンとの共存 (スコア:2, 興味深い)
えっと、Acrobat 5.x と Acrobat Reader 6.0 の共存って、可能でしたっけ?
むらちより/あい/をこめて。
Re:製品版旧バージョンとの共存 (スコア:2, 参考になる)
現在の環境 WinXP+SP1+HotFix and Acrobat 5.05 に
Adobe Reader 6 [adobe.co.jp]
をインストール。
# Alubm 2.0 mini 一緒になったみたい。あらら(その1)?。
インストール直後;
1. アイコンからは6が起動
2. IEからはpdfな文書をクリックすると5で立ち上がる。
再起動後;
1. アイコンからは5が起動
2. IEからはpdfな文書をクリックすると5で立ち上がる。
3. 6をインストールフォルダから直接クリック5が立ち上がる。
あらら(その2)。
探る必要はある。(めんどくさ。)
それ以前に、XFDFを使うのはフォーム送信系が多いと思ったんですが、
6のスタンダードじゃ作れないんですね。
5だとIMEのON制御がおかしくてカナ入力になったりするので、
うーん。どないしよ。
Re:製品版旧バージョンとの共存 (スコア:1)
> 再起動後;
> 1. アイコンからは6が起動
> 3. 6をインストールフォルダから直接クリック6が立ち上がる。
詳細は仕事で。:)
Re:製品版旧バージョンとの共存 (スコア:1)
Acrobat Reader方がAcrobatより動作が快適だから。
Re:製品版旧バージョンとの共存 (スコア:1)
あはは、6.0 になって、Adobe Reader という名前になっていたのをすっかり見落としておりました (^_^;。
ちなみに (知っているでしょうが)、製品版の Acrobat には漏れなく Reader なツールもついてきます。今回 Reader の 5.1 に欠陥、ということだったので、製品版 Acrobat の 5.x に付属の Reader も疑った方がよいのかな、Reader だけ 6.x に差し替え可能なら差し替えた方がよいのかな? という意味での発言でした。
むらちより/あい/をこめて。
心当たりはあるけど (スコア:1, 興味深い)
している時の挙動が変わったり(うまく終了しなかったりするし…)と
大変使い勝手が悪いので心の底からバージョン上げたくない気持ちでいっぱいです。
#システムを再インストールする時も昔のCDから5.1を探して
#入れてるくらいだしな…
脆弱性が見つかった形式のMIMEタイプに反応しないようにすれば
当面は逃げられる…のだろうか?
Re:心当たりはあるけど (スコア:2, 参考になる)
結果がバッファ・オーバーフローですのでアップデートが吉かと。
重いのは「Adobe Reader SpeedUp」 [impress.co.jp]でどうでしょう?
でも、 Adobeの日本のサイト [adobe.co.jp]には一言も説明が無いですね(16:00現在)。ユーザーに呼びかけている様子は少しも見られません。危険度はとても高いし、日本でも昨日から報道されているのに、と思ってはいけないのでしょうか ?
# 「 Acrobat Reader は無料だから」ではないと思いますが
Re:心当たりはあるけど (スコア:2, おもしろおかしい)
以前、Acrobatのセキュリティホール情報 [adobe.co.jp]が出たときに、日本サイトには情報がなかったので、電話して聞いてみたことがあります。サポートは有料なので、カスタマーインフォメーションセンターに問い合わせたところ、「日本語版にはセキュリティホールはありません」という回答がありました。
Re:心当たりはあるけど (スコア:0)
その程度の会社なんでしょうね
銀行のウェブサイトに古い版が置いてあります。 (スコア:1)
Re:銀行のウェブサイトに古い版が置いてあります。 (スコア:2, 参考になる)
http://www.adobe.co.jp/products/acrobat/alternate.html
3.0から最新までのReader(各言語)落とせます。
Re:心当たりはあるけど (スコア:0)
でも、Reader6.0Xには移行したくない・・・ (スコア:1)
パッチを当てないとまともにWindowsが使えなくなるとはいえ、
Acrobat Reader6.0は要らない機能が沢山付いてるのが嫌ですね。
起動に20秒とか掛かるのもやってられん・・・
あと、スタートメニューのショートカットを弄ると、
毎回修復が掛かるのは如何なものかと。
ビューアは、軽くて再現してくれるだけでいいのに。
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:3, 参考になる)
Windows XPの場合、5.0.1だと
321964 - Adobe Acrobat Reader のインストールが原因でエラーが発生する [microsoft.com]
という問題もあります。
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:2, 参考になる)
pluginの起動を抑制することで体感できるほど高速化されます。
高速化の仕組みは単純らしいです。 (スコア:2, 参考になる)
BAKフォルダを作って、普通はいらないプラグイン
をそこに移動します。解除はその反対。
いらないプラグインはPDF帳票動作とか
XMLサーバ接続とからしいです。
Acrobat 6 をすばやく起動するための、 (スコア:2, 参考になる)
ただし、この適用をしている途中でアップグレードをすると、Acrobatが破壊されます。
自動アップデートはしないようにして、アップグレード時にはこのソフトは解除するようにします。
#あどべのAcrobat 6にアップグレードしろ、という我欲むき出しのコメントは関心しませんけど。ユーザの不利益になりそうなバグなら無償で修正すべきと思います。
Re:Acrobat 6 をすばやく起動するための、 (スコア:2, 興味深い)
結構快適です。
> ただし、この適用をしている途中でアップグレードをすると、Acrobatが破壊されます。
つい数日前に、似たようなことをやっっちゃいました。
ARSを適用したまま、Adobe Readerを再インストール。
再度、ARSを適用しようとしたら、既に適用してるから、設定を変更するなら一旦リストアしろと。
じゃぁと、リストアしようとしたら、ARSは適用されてませんと言われました...一体どうしろと(T_T)
結局、Adobe ReaderのインストールディレクトリにARSの設定ファイルらしきものがあったので、それを消したら事なきを得ましたが。
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:1, 参考になる)
おまけにPDF/Xなんてものも出してるし、、
無駄な機能をつけるくらいなら、さっさとPostScript4を出してください。
#PostScriptが対応してないIllustratorの透明化、とにかく何とかしてくださいよ。
#出力機のライセンスでものすごくぼったくってるんだから、、
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:0)
pdfってファイル仕様公開されてるから問題ないだろ?
# 俺は無理なのでAC
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:1)
なのでとりあえずぐぐるの変換で我慢してる。
# 文字が化ける人はエンコードをUTF8にするがよい。
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:1)
Windows 用はないみたいです。誰か xpdf を移植してくれませんかね。
なんちゃってプログラマ?
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:1)
GhostScript + GSview という手もあるにはあります。
# Windows 使いじゃないので使いものになるかどうかは...
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:0)
同じことを思いついて、やってみたんですが、どうもダメっぽいです。 Ghostscript 8.14 + GSview 4.6 の日本語版 [aichi-edu.ac.jp]より
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:0)
MacOSXのプレビューは力不足 (スコア:1)
MacOSX10.3のプレビューは、縦組がうまく表示できません。
このように実装にバラツキがでてしまうと、文字を全て図形化して保存するということになり、一部では実際になされています。
用途によりけりとはいえ、電子文書の魅力が半減しますね。
Re:MacOSXのプレビューは力不足 (スコア:1)
Jaguarのものは確かに力不足でしたが、もうAcrobat Readerはいらないと思っています。
Re:MacOSXのプレビューは力不足 (スコア:2, 参考になる)
残念ながら、次リンクのようになることもあります。
MacOSX 10.3:プレビューでPDFを見ると… [cocolog-nifty.com]
リンク先は、MacOS10.3のプレビューで縦組部の組版が崩れている様子を掲載しています。画像右側の縦組部に注目。
ページレイアウトソフトの縦組みの実装を疑う人もいるでしょうが、Acrobat Readerでは正常に表示できている以上、Previewの方を疑っています。
それでは、Adobe製であれば安心かというと、Acrobat5と6で再現性が違う [adobe.co.jp]こともあるので油断できません。
Re:MacOSXのプレビューは力不足 (スコア:1)
(特に4とか5とかの、それもWin版)
ばしっと示せる資料がないので、聞き流す程度でお願いします。
Linux(とUNIX)は? (スコア:1, 興味深い)
Linux上でMozilla+plugger+AcrobatReader5という組み合わせで使っているのですが、
このような環境でもこの脆弱性の影響を受けるのでしょうか?
Windows用はVer.6以降にアップデートすればいいでしょうが、
UNIX/Linux用はVer.5までしか提供されていないし...。
問題ないみたい(に見える) (スコア:2, 参考になる)
# 勘違いしてたらゴメソ
/.configure;oddmake;oddmake install
Re:問題ないみたい(に見える) (スコア:1)
When the xfdf file is parsed an unsafe call to sprintf is made in
preparation for outputting a debug message using OutputDebugString.
おそらく
char tmp[決めうちサイズ];
sprintf(tmp, format, xfdfのどっかのフィールドとかごにょごにょ);
OutputDebugString(tmp);
とかなってるんじゃないですかね?
まあおそらくOutputDebugStringに渡す文字列を作るために適当に書いたコードでしょうから、Windows版固有の問題である可能性は高いとは思いますが、問題がsprintfである以上他のプラットフォームにも同様の問題はないとは断言できません。
と、書いてて思ったのですが、件のリリース [nextgenss.com]には、対象となるプラットフォームについて一言も書かれてないんですね。OutputDebugStringというAPIでかろうじてWindowsの話だとわかるわけで。なんだかな。
Re:問題ないみたい(に見える) (スコア:0)
Linux版も類似のAPIを
同じように不適切な処理で呼び出しているのではないかと
危惧してしまうのだが
いかんせんソース公開していないので
どうにもその危惧を払拭できぬ
Re:問題ないみたい(に見える) (スコア:1)
全プラットフォーム共通ソース であったぞよ。
デバッグ情報を出すところは固有だとしても、その手前のメッセージ生成は共通だと思う。
-- To be sincere...
むしろ (スコア:0)
わざわざsprintfまで生かしておいて。。。
# コードある所にバグあり
Re:Linux(とUNIX)は? (スコア:2, 参考になる)
今回の件はわかりませんが,
下のはどう考えてもおまけというか今更だけど:-p
おまけついでに Peachy [itmedia.co.jp]なんてのもありましたね.
『PDFは安全』と疑わない人も多いですが そうでもないんですよね.
Acrobat Reader6.0は重いので (スコア:1)
アプリケーションでPDFが見ることが出来たみたいです。
あ、これMacだった。。。
There is no spoon.
Macでは (スコア:1)
Mac OS XではPDFを見る方法が3つ以上ある (Preview,app, Acrobat Reader.app, PDF Browser Plugin など) のでいいですが、Mac OS 9以前はAcrobat Reader 5.x しかないので、OS 9ユーザは困ってしまいますね。もはや OS 9は使うべきではない??
Adobe Acrobat Reader 5.1はどこにありますか? (スコア:1)
日本のダウンロードサイト [adobe.co.jp]にも米国のダウンロードサイト [adobe.com]にも
5.0.5まてしか見当たらないんですが、商品版に付属でもしてたんでしょうか?
# 昨日アドビから電話がかかってきたので、何だ? と思ったが、
# e-Learningに登録してたから感想を聞くセールスの電話でした。
わからないことだらけ (スコア:1)
これだけの情報では、本当に弱点があるのかどうなのかすらわかりません。もう少し詳しい情報が Adobe なり発見者なりから出ることを期待したいです。
鵜呑みにしてみる?
Reader6 の、どこが嫌か? (スコア:0)
・ブラウザプラグインした際、(デフォルトでは)ファイルを一度に
全部拾ってくれない(設定で回避可)
長い文書の最初の方だけを読むには有効なのかも知れないけど…。
悪くない点もあって、
・PDF ファイルの、前回開いたページを覚えててくれる(初期状態
では eBook のみだけど)。ブラウザから開いた PDF でも有効。
Re:Reader6 の、どこが嫌か? (スコア:1)
問題はAcrobat 6 が無いとインデックスが作成できないこと。(インデックスの利用はReaderからでも出来ます)
他にも頻繁に検索をかけるファイルに対してはバッファに検索結果を保存してくれるので検索が早くなります。というわけで、大量にあるドキュメントから目的の情報をさっと取り出したいときには 6 がいいですね。ぼくは仕事中はずっとAcrobat 6を立ち上げっぱなしにしておくことが多いんですけど、昨日久しぶりにReader 4を起動したら一瞬で起動したのでめまいがしたのは事実ですが。
Re:Reader6 の、どこが嫌か? (スコア:0)
・ビットマップフォント埋め込みのしょぼいPDFファイルもアンチエイリアスをかけて表示&印刷してくれるのできれい。
・印刷が全般にきれいになった。
・イラストレータでアウトラインをとったPDFファイルでもちゃんと表示される。以前のバージョンだと太ってしまい見られたものではなかった。
つーわ
回避不能 (スコア:0)
未だに旧いOSを使っている人は回避できないんですかねぇ・・・。
回避できる…かも (スコア:0)
Re:回避不能 (スコア:0)
そういう人は相手にしてません(たぶん)・・・。
そうあって欲しいと思う。
いやそうあるべきだ。
そうでなければならない。
Re:回避不能 (スコア:0)
Re:回避不能 (スコア:0)
Re:回避不能 (スコア:0)
Re:脆弱なMSのWindowsに何度も乗っ取られているので (スコア:1)
Verup以外で、個人の技術で何とかしようと言う
考え方はダメなんだろうね。商売的に。
いや、レスの歴々方の言、「重い」「不安定」を見ると
OS処か、今度は一般的なソフトウェアもユーザーがβテスターに…
ろんぐほーんまでソフトを更新乃至、
新パッケージの導入をする予定は全くありません>各一般ベンダーさま
#セキュリティーの威を借るベンダー
#盗人の番は何とやら