wakatonoによる
2004年03月05日 15時22分の掲載
怪しいXFDFは疑うが吉?部門より。
怪しいXFDFは疑うが吉?部門より。
Anonymous Coward曰く、"Japan.internet.comによると、英国のセキュリティコンサルタント会社 NGSSoftware は4日、「Adobe Acrobat Reader」の一部のバージョンに、システム乗っ取りを許しかねない極めて危険度の高いセキュリティ上の脆弱性があると警告したそうだ。該当のバージョンは Acrobat Reader のバージョン 5.1 で、開発元の Adobe は、最新版の「Adobe Reader 6.0」にアップグレードするようユーザーに呼びかけている。 Acrobatはファイル形式の普及率は高いものの、Readerのバージョン管理はあまり厳密には行なわれていないのではないかと思うので、心当たりのある人は早急にアップデートした方がいいと思う。"
関連ストーリー
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
製品版旧バージョンとの共存 (スコア:2, 興味深い)
えっと、Acrobat 5.x と Acrobat Reader 6.0 の共存って、可能でしたっけ?
むらちより/あい/をこめて。
Re:製品版旧バージョンとの共存 (スコア:2, 参考になる)
現在の環境 WinXP+SP1+HotFix and Acrobat 5.05 に
Adobe Reader 6 [adobe.co.jp]
をインストール。
# Alubm 2.0 mini 一緒になったみたい。あらら(その1)?。
インストール直後;
1. アイコンからは6が起動
2. IEからはpdfな文書をクリックすると5で立ち上がる。
再起動後;
1. アイコンからは5が起動
2. IEからはpdfな文書をクリックすると5で立ち上がる。
3. 6をインストールフォルダから直接クリック5が立ち上がる。
あらら(その2)。
探る必要はある。(めんどくさ。)
それ以前に、XFDFを使うのはフォーム送信系が多いと思ったんですが、
6のスタンダードじゃ作れないんですね。
5だとIMEのON制御がおかしくてカナ入力になったりするので、
うーん。どないしよ。
親コメント
心当たりはあるけど (スコア:1, 興味深い)
している時の挙動が変わったり(うまく終了しなかったりするし…)と
大変使い勝手が悪いので心の底からバージョン上げたくない気持ちでいっぱいです。
#システムを再インストールする時も昔のCDから5.1を探して
#入れてるくらいだしな…
脆弱性が見つかった形式のMIMEタイプに反応しないようにすれば
当面は逃げられる…のだろうか?
Re:心当たりはあるけど (スコア:2, 参考になる)
結果がバッファ・オーバーフローですのでアップデートが吉かと。
重いのは「Adobe Reader SpeedUp」 [impress.co.jp]でどうでしょう?
でも、 Adobeの日本のサイト [adobe.co.jp]には一言も説明が無いですね(16:00現在)。ユーザーに呼びかけている様子は少しも見られません。危険度はとても高いし、日本でも昨日から報道されているのに、と思ってはいけないのでしょうか ?
# 「 Acrobat Reader は無料だから」ではないと思いますが
親コメント
Re:心当たりはあるけど (スコア:2, おもしろおかしい)
以前、Acrobatのセキュリティホール情報 [adobe.co.jp]が出たときに、日本サイトには情報がなかったので、電話して聞いてみたことがあります。サポートは有料なので、カスタマーインフォメーションセンターに問い合わせたところ、「日本語版にはセキュリティホールはありません」という回答がありました。
親コメント
Re:銀行のウェブサイトに古い版が置いてあります。 (スコア:2, 参考になる)
http://www.adobe.co.jp/products/acrobat/alternate.html
3.0から最新までのReader(各言語)落とせます。
親コメント
でも、Reader6.0Xには移行したくない・・・ (スコア:1)
パッチを当てないとまともにWindowsが使えなくなるとはいえ、
Acrobat Reader6.0は要らない機能が沢山付いてるのが嫌ですね。
起動に20秒とか掛かるのもやってられん・・・
あと、スタートメニューのショートカットを弄ると、
毎回修復が掛かるのは如何なものかと。
ビューアは、軽くて再現してくれるだけでいいのに。
誰も信じちゃいけない、裏切られるから。
私を信じないで、貴方を裏切ってしまうから。
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:3, 参考になる)
Windows XPの場合、5.0.1だと
321964 - Adobe Acrobat Reader のインストールが原因でエラーが発生する [microsoft.com]
という問題もあります。
親コメント
Re:でも、Reader6.0Xには移行したくない・・・ (スコア:2, 参考になる)
pluginの起動を抑制することで体感できるほど高速化されます。
親コメント
高速化の仕組みは単純らしいです。 (スコア:2, 参考になる)
BAKフォルダを作って、普通はいらないプラグイン
をそこに移動します。解除はその反対。
いらないプラグインはPDF帳票動作とか
XMLサーバ接続とからしいです。
親コメント
Acrobat 6 をすばやく起動するための、 (スコア:2, 参考になる)
ただし、この適用をしている途中でアップグレードをすると、Acrobatが破壊されます。
自動アップデートはしないようにして、アップグレード時にはこのソフトは解除するようにします。
#あどべのAcrobat 6にアップグレードしろ、という我欲むき出しのコメントは関心しませんけど。ユーザの不利益になりそうなバグなら無償で修正すべきと思います。
親コメント
Re:Acrobat 6 をすばやく起動するための、 (スコア:2, 興味深い)
結構快適です。
> ただし、この適用をしている途中でアップグレードをすると、Acrobatが破壊されます。
つい数日前に、似たようなことをやっっちゃいました。
ARSを適用したまま、Adobe Readerを再インストール。
再度、ARSを適用しようとしたら、既に適用してるから、設定を変更するなら一旦リストアしろと。
じゃぁと、リストアしようとしたら、ARSは適用されてませんと言われました...一体どうしろと(T_T)
結局、Adobe ReaderのインストールディレクトリにARSの設定ファイルらしきものがあったので、それを消したら事なきを得ましたが。
親コメント
Re:MacOSXのプレビューは力不足 (スコア:2, 参考になる)
残念ながら、次リンクのようになることもあります。
MacOSX 10.3:プレビューでPDFを見ると… [cocolog-nifty.com]
リンク先は、MacOS10.3のプレビューで縦組部の組版が崩れている様子を掲載しています。画像右側の縦組部に注目。
ページレイアウトソフトの縦組みの実装を疑う人もいるでしょうが、Acrobat Readerでは正常に表示できている以上、Previewの方を疑っています。
それでは、Adobe製であれば安心かというと、Acrobat5と6で再現性が違う [adobe.co.jp]こともあるので油断できません。
親コメント
Linux(とUNIX)は? (スコア:1, 興味深い)
Linux上でMozilla+plugger+AcrobatReader5という組み合わせで使っているのですが、
このような環境でもこの脆弱性の影響を受けるのでしょうか?
Windows用はVer.6以降にアップデートすればいいでしょうが、
UNIX/Linux用はVer.5までしか提供されていないし...。
問題ないみたい(に見える) (スコア:2, 参考になる)
# 勘違いしてたらゴメソ
/.configure;oddmake;oddmake install
親コメント
Re:Linux(とUNIX)は? (スコア:2, 参考になる)
今回の件はわかりませんが,
-
UNIX/Linux用のPDFファイルビューワーにセキュリティホール [itmedia.co.jp]
-
Xpdfの古いやつ [redhat.com]
なんかにも気をつけたほうがいいかもしれません.下のはどう考えてもおまけというか今更だけど:-p
おまけついでに Peachy [itmedia.co.jp]なんてのもありましたね.
『PDFは安全』と疑わない人も多いですが そうでもないんですよね.
親コメント
Acrobat Reader6.0は重いので (スコア:1)
アプリケーションでPDFが見ることが出来たみたいです。
あ、これMacだった。。。
There is no spoon.
Adobe Acrobat Reader 5.1はどこにありますか? (スコア:1)
日本のダウンロードサイト [adobe.co.jp]にも米国のダウンロードサイト [adobe.com]にも
5.0.5まてしか見当たらないんですが、商品版に付属でもしてたんでしょうか?
# 昨日アドビから電話がかかってきたので、何だ? と思ったが、
# e-Learningに登録してたから感想を聞くセールスの電話でした。
わからないことだらけ (スコア:1)
- Windows 版の Acrobat Reader 5.1 にバッファオーバフローがある(厳密には Windows 版とも書いてないけど…… #508568 [slashdot.jp] 参照)。
- 最新版(6.0.1?)にはこの弱点はない。
としか書かれていないわけで、わからないことだらけ……。- Acrobat Reader 5.0.x はどうか? (まあ書いてない以上、危険と思ったほうが良いけど)
- Windows 版以外の Acrobat Reader はどうか?(〃)
- Reader でない Acrobat はどうか?(〃)
Adobe Forums に「5.1 以外のバージョンはどうなんですか」という質問 [adobeforums.com]が載っているけど、今のところ返事なし。これだけの情報では、本当に弱点があるのかどうなのかすらわかりません。もう少し詳しい情報が Adobe なり発見者なりから出ることを期待したいです。
鵜呑みにしてみる?
Re:Reader6 の、どこが嫌か? (スコア:1)
問題はAcrobat 6 が無いとインデックスが作成できないこと。(インデックスの利用はReaderからでも出来ます)
他にも頻繁に検索をかけるファイルに対してはバッファに検索結果を保存してくれるので検索が早くなります。というわけで、大量にあるドキュメントから目的の情報をさっと取り出したいときには 6 がいいですね。ぼくは仕事中はずっとAcrobat 6を立ち上げっぱなしにしておくことが多いんですけど、昨日久しぶりにReader 4を起動したら一瞬で起動したのでめまいがしたのは事実ですが。
親コメント
Re:脆弱なMSのWindowsに何度も乗っ取られているので (スコア:1)
Verup以外で、個人の技術で何とかしようと言う
考え方はダメなんだろうね。商売的に。
いや、レスの歴々方の言、「重い」「不安定」を見ると
OS処か、今度は一般的なソフトウェアもユーザーがβテスターに…
ろんぐほーんまでソフトを更新乃至、
新パッケージの導入をする予定は全くありません>各一般ベンダーさま
#セキュリティーの威を借るベンダー
#盗人の番は何とやら
親コメント