AdobeがFlash Playerのアップデートを予告、Illustratorには脆弱性発覚
http://www.itmedia.co.jp/enterprise/articles/0912/04/news019.htmlFlash Playerのアップデートが米国時間8日にリリースされる予定だ。一方、Illustrator CS4には未修正の脆弱性が報告された。
[ITmedia]
2009年12月04日 07時59分 更新
米Adobe Systemsは12月3日、Flash Playerの深刻な脆弱性に対処するセキュリティアップデートを米国時間の8日にリリースすると予告した。これとは別に、Illustrator CS4に関する未修正の脆弱性情報についても調査中だという。
8日のアップデートの対象となるのは、Flash Player 10.0.32.18までのバージョンと、AIR 1.5.2までのバージョン。深刻度は4段階で最も高い「critical」となっている。一方、Illustrator CS4の脆弱性については、ローカルのユーザーがIllustratorで不正な「.eps」ファイルを開くと悪用される恐れがあるようだとAdobeは伝えている。
セキュリティ企業のSecuniaも同日、この脆弱性に関するアドバイザリーを公開し、.epsファイルを解析する際のエラーが原因でメモリ破損を引き起こし、任意のコード実行に利用される恐れがあると指摘した。脆弱性はCS3 13.0.0とCS4 14.0.0で確認され、ほかのバージョンも影響を受ける可能性があるとしている。
脆弱性 | Adobe Systems(アドビシステムズ) | Flash Player | Illustrator | セキュリティアップデート
Adobe Illustratorに重大なゼロデイ脆弱性が発見される
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20404785,00.htmAdobe Illustratorに存在するゼロデイ脆弱性に対し、攻撃コードが公開されている。この問題に対する緩和策はまだ公表されていない。
文:Ryan Naraine(Special to ZDNet.com)
翻訳校正:石橋啓一郎 2009年12月4日 14時40分
Adobeのセキュリティ対応チームが、Adobe Illustrator CS4に存在する重大なゼロデイ脆弱性と思われる問題に対する攻撃コードが公開された問題に大急ぎで対処しようとしている。
この脆弱性は、Encapsulated Postscript File(.eps)の構文解析のエラーによって引き起こされるもので、ユーザーが特別に作成された.epsファイルを開くと、この問題が悪用され、メモリ破壊を引き起される可能性がある。Secuniaによれば、この脆弱性の悪用に成功した場合、任意のコードの実行が可能になる。
このセキュリティホールは、バージョンCS3 13.0.0およびCS4 14.0.0に存在することが確認されている。他のバージョンにも影響がある可能性がある。
これがWindows XP Service Pack 3上で動作する攻撃コードへのリンクだ。
DSCコメントに過度に長い文字列を用いると(4万2000バイト超)、直接的なEIPの上書きが生じる。例外処理はファーストチャンス式であるため、プログラムがクラッシュすることはない。リダイレクトされた時点では、EAXとESIはユーザーによってコントロールされている。
Adobeの製品セキュリティ担当ディレクターBrad Arkin氏は、同社が公にされたレポートについて調査中であると述べている。間もなく緩和策が同社のPSIRTブログに掲載される見込みだ。
Secuniaは、それまでの間Illustratorユーザーは信頼できない情報源から入手したファイルを開くのを避けることを推奨している。
[UPDATE] Adobeもこの脆弱性の存在を公式に確認した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
関連情報
Adobe Illustrator CS3にヒープベースのバッファオーバーフロー脆弱性
Secuniaはベクトルグラフィックソフトウェアである「Adobe Illustrator」にシステムアクセスの脆弱性が発見されたと公表した。
新たなPDFのセキュリティホールが攻撃される -- まもなくパッチ公開
アドビの「ゼロデイ脆弱性」は8ヶ月前から知られていたことが明らかに
Adobe Flashにゼロデイ攻撃、Adobe Readerにただちに処置を
Adobe Systems
Secunia
「Zero Day」 のバックナンバー
BlackBerryのシステムに脆弱性--特別に作成されたPDFファイルから悪用可能
BlackBerry Attachment Serviceに、BlackBerryでPDFファイルを開いた際に悪用可能な脆弱性が存在することが明らかになった。
新型インフルエンザワクチンの情報を利用したマルウェア配布キャンペーンが展開中
FreeBSDに対する攻撃コードが出回る--緊急パッチを公開中
インターネット接続をブロックする新たなランサムウェアが登場
IE 7のゼロデイ脆弱性に攻撃コードが公開される
Zero Day 一覧へ ≫
Flash Playerに新たな脆弱性、12月8日に修正バージョン公開へ
http://internet.watch.impress.co.jp/docs/news/20091204_333449.html2009/12/4 18:00 インプレス インターネットウォッチ
アドビの「Illustrator」に脆弱性発覚――ハッカーに悪用されるおそれも
http://www.computerworld.jp/topics/vs/169389.html修正パッチの配布は12月8日か
(2009年12月04日)コンピューターワールド
関連記事
- [世界]Flashに新たな脆弱性、悪用した攻撃もすでに発生 アドビも存在を確認、早急に対応へ