Adobe ReaderおよびAcrobatの脆弱性に関する検証レポートを発表（NTTデータ・セキュリティ）

　NTTデータ・セキュリティ株式会社は11月9日、Adobe ReaderおよびAcrobatの脆弱性に関する検証レポートを発表した。これらの製品にはバッファオーバーフローの脆弱性が確認されており、さまざまな経路により細工されたPDFファイルを閲覧した場合にローカルユーザと同じ

製品・サービス・業界動向業界動向

2009年11月11日（水） 17時45分

　NTTデータ・セキュリティ株式会社は11月9日、Adobe ReaderおよびAcrobatの脆弱性に関する検証レポートを発表した。これらの製品にはバッファオーバーフローの脆弱性が確認されており、さまざまな経路により細工されたPDFファイルを閲覧した場合にローカルユーザと同じ権限を奪取される可能性がある。同社ではAdobe ReaderおよびAcrobatの脆弱性(CVE-2009-2994)について、再現性の検証を行った。

　検証は、Adobe Reader 9.0がインストールされたWindows XPをターゲットシステムとして、細工したPDFファイルを含むWebコンテンツを閲覧させることで実施された。この結果、誘導先のコンピュータ（Ubuntu）のコマンドプロンプト上にターゲットシステムのプロンプトが表示され、コマンドの実行が確認された。ターゲットシステムの制御の奪取に成功したことになる。充分な検証後、最終バージョンへのアップグレードを推奨している。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091109_1.pdf

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

Adobe ReaderおよびAcrobatの脆弱性に関する検証レポートを発表（NTTデータ・セキュリティ）

Scan PREMIUM 会員限定記事

PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは？～ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

Microsoft Windows において Service Control Manager でのアクセス権限検証不備により高い権限でのサービス制御が可能となる脆弱性（Scan Tech Report）

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは？ ～ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

Microsoft Windows において Service Control Manager でのアクセス権限検証不備により高い権限でのサービス制御が可能となる脆弱性（Scan Tech Report）

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

カスペルスキー、Google Chromeと2つのMicrosoft Windowsの脆弱性を悪用した標的型攻撃を発見

WordPress 用プラグイン Welcart e-Commerce に XSS の脆弱性

Thales 製 Sentinel LDK Run-Time Environment に不十分なアンインストール処理の脆弱性

「Apex Legends」ボイスチャットでのなりすましに注意喚起

Microsoft Windows において Service Control Manager でのアクセス権限検証不備により高い権限でのサービス制御が可能となる脆弱性（Scan Tech Report）

Evernoteをかたるフィッシングに注意喚起、6月4日時点でサイト稼働中

インシデント・事故 記事一覧へ

Fastlyのネットワークの85％で障害発生、未確認のバグが原因

ExcelをマスキングしPDF変換、コピー＆ペーストで個人情報閲覧可

国立環境研究所のクラウドメールサービスに不正ログイン、不審メールの送信を確認

新サイトの案内メールに別人の名前とID記載、元データに不具合存在

「日之出出版公式ストア」に不正アクセス、発覚から報告まで378日間要す

ハム販売サイトに不正アクセス、約1年分の決済情報が流出の可能性

調査・レポート・白書 記事一覧へ

７割が知らない、ダークウェブ認知度

「ICTサイバーセキュリティ総合対策2021」（案）への意見募集、COVID-19 対応を受けたセキュリティ対策を推進

公開Webサイトのほとんどに何らかの脆弱性 ～ IPA 2020年度サイバーセキュリティお助け隊報告書から

セキュリティ対策状況開示の良見本「東芝グループ サイバーセキュリティ報告書2021」

SolarWinds攻撃へ対応した組織は3分の1にとどまる

経産省、営業秘密管理関連の資料を大量公開 ～ 中国 タイ ベトナムほか裁判事例も

研修・セミナー・カンファレンス 記事一覧へ

クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

質疑応答は無制限、CrowdStrikeがエンドポイント保護のウェビナー6月24日開催

リセラー・SIer 対象、Proofpoint Email Security 商談事例と販売方法 オンライン解説

実践的サイバー防御演習「CYDER」の2021年度開催概要を公開、Cコース（準上級）、オンラインAコース（初級）を新設

5月22日から来年3月まで「SECCON 2021」オンライン開催、12月にはCTF世界大会も

エンドポイントセキュリティ対策の原点回帰、GSXとクラウドストライク共催ウェビナー

製品・サービス・業界動向 記事一覧へ

「Proofpoint CASB」、Microsoft Teams の DLP パートナーに認定

「セキュリティ専門家による訪問指導4回」中小企業が考える適正価格

FireEye、製品事業を現金12億ドルで売却

東証一部上場の人材派遣大手、全社員2万人に多要素認証導入

MBSDと米Cloudflare業務提携、Cloudflare WAFのマネージドサービス開始

オンプレミス版 純国産ログ分析プラットフォーム「LogStare Quint」出荷開始

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイＴシャツ屋」でも売っていないもの ～ 2021年 CrowdStrike カレンダー読者プレゼント

ScanNetSecurity システム更新のお知らせ

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄

ScanNetSecurity 創刊22周年御礼の辞（上野宣）

上野編集長就任１０周年記念オンライン飲み会 ７月１７日開催（ScanNetSecurity）

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施（イード）

PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは？～ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書記事一覧へ

公開Webサイトのほとんどに何らかの脆弱性～ IPA 2020年度サイバーセキュリティお助け隊報告書から

セキュリティ対策状況開示の良見本「東芝グループサイバーセキュリティ報告書2021」

経産省、営業秘密管理関連の資料を大量公開～中国タイベトナムほか裁判事例も

研修・セミナー・カンファレンス記事一覧へ

リセラー・SIer 対象、Proofpoint Email Security 商談事例と販売方法オンライン解説

製品・サービス・業界動向記事一覧へ

オンプレミス版純国産ログ分析プラットフォーム「LogStare Quint」出荷開始

おしらせ記事一覧へ

セキュリティ業界最強の「ヤバイＴシャツ屋」でも売っていないもの～ 2021年 CrowdStrike カレンダー読者プレゼント

上野編集長就任１０周年記念オンライン飲み会７月１７日開催（ScanNetSecurity）

上野宣編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施（イード）