特に重要なセキュリティ欠陥・ウイルス情報

Adobe Reader / Acrobat 9.3.2 / 8.2.2 が公開されています。複数の重大な欠陥が修正されています。

• セキュリティアップデータの公開 APSB10-09：AcrobatおよびAdobe Reader (Adobe)

Adobe Reader / Acrobat は以下のリンクから入手してください。Adobe Reader / Acrobat 9.x / 8.x の利用者は、Adobe Reader / Acrobat のアップデート機能を利用しても更新できます。

• Adobe Reader for Windows
• Adobe Reader for Macintosh
• Adobe Reader for Unix
• Acrobat for Windows
• Acrobat Pro Extended for Windows
• Acrobat 3D
• Acrobat Pro for Macintosh

Adobe Reader / Acrobat はウイルスに狙われやすいプログラムの 1 つです。できるだけ早く、最新版に更新してください。

なお、Adobe Reader / Acrobat 7.x 以前はもはやサポートされていません。Adobe Reader / Acrobat 7.x 以前の利用者は、速やかに Adobe Reader / Acrobat 8.x 以降 (Adobe Reader / Acrobat 9.3.2 を推奨) にアップグレードしてください。たとえば、Windows 環境において Adobe Reader 7.x から Adobe Reader 9.3.2 にアップグレードする場合は、次の手順となります。

1. まず Adobe Reader 7.x をアンインストールします。
2. 次に Adobe Reader 9.3 をインストールします。ダウンロードした zip ファイルを展開し setup.exe を実行します。
3. 最後に、Adobe Reader 9.3.2 アップデーターをインストールします。

古いバージョンの Adobe Acrobat をアップグレードする費用を工面できないという場合は、Adobe Acrobat をアンインストールした上で、PrimoPDF などの無償ソフトウェアの利用を推奨します。

関連キーワード: Acrobat

JDK および JRE 6 Update 20 が公開されています。既にウイルスへの悪用が確認されている、重大な欠陥が修正されています。

• Oracle Security Alert CVE-2010-0886 (Oracle)
• Java SE ダウンロード - J2SE 6 (Sun)
• Oracle Sun JDK および JRE の脆弱性に関する注意喚起 (JPCERT/CC)

Java SE は狙われやすいソフトウェアの 1 つです。Java SE 利用者は速やかに更新してください。また、最新版をインストールしても旧版が削除されずに残ることがあります。正常動作を確認の後、旧版を手動にて削除してください。

なお、JDK / JRE 5.0 のサポートは 2009.11.03 をもって終了しています。JDK / JRE 5.0 以前を利用している場合は、削除の上、JDK / JRE 6 Update 20 に移行して下さい。

関連キーワード: Java

自動的に外部コマンドを実行する PDF ファイルを作成できることが明らかになりました。ウイルスの実行に悪用される恐れが多分にあります。

• PDF "/Launch" Social Engineering Attack (Adobe Reader blog)

著名な PDF ファイル閲覧ソフトでは次のようになります。

• Adobe Reader / Acrobat の場合、自動的には実行されず警告が表示されるのですが、警告表示を改ざんできてしまうため、意図せずに実行してしまう恐れがあります。
• Foxit Reader の場合は 3.2.1.0401 において、警告表示がなされるよう修正されています。それより前のバージョンでは、自動的に（無警告で）実行されてしまいます。

Adobe Reader / Acrobat では、[環境設定] → [信頼性管理マネージャ] の「外部アプリケーションで PDF 以外の添付ファイルを開くことを許可」を無効にする (チェックを外す) ことで、この攻撃を回避できます。

関連キーワード: Adobe Reader

2010.04.13 追記

この欠陥を悪用するウイルス（攻略 PDF ファイル）が実際に出回っているようです。

• Troj/PDFEx-DF: SophosLabs sees malware exploiting /Launch (Sophos)

QuickTime 7.6.6 と iTunes 9.1 が公開されています。それぞれ、セキュリティ欠陥の修正を含んでいます。

• QuickTime 7.6.6 のセキュリティコンテンツについて (Apple)
• iTunes 9.1 のセキュリティコンテンツについて (Apple)

QuickTime は狙われやすいソフトウェアの 1 つです。利用者は、Apple Software Update を使って更新するか、個別にダウンロードして速やかに更新してください。

関連キーワード: QuickTime, iTunes

JDK および JRE 6 Update 19 が公開されています。多数の欠陥が修正されています。

• Oracle Java SE and Java for Business Critical Patch Update Advisory - March 2010 (Oracle)
• Java SE ダウンロード - J2SE 6 (Sun)

Java SE は狙われやすいソフトウェアの 1 つです。Java SE 利用者は速やかに更新してください。また、最新版をインストールしても旧版が削除されずに残ることがあります。正常動作を確認の後、旧版を手動にて削除してください。

なお、JDK / JRE 5.0 のサポートは 2009.11.03 をもって終了しています。JDK / JRE 5.0 を利用している場合は、削除の上、JDK / JRE 6 Update 19 に移行して下さい。

関連キーワード: Java