Adobe Reader Xに未解決の脆弱性、サンドボックスを破られる恐れ

 米Adobe SystemsのAdobe Reader Xに未解決の脆弱性が発見され、悪名高い脆弱性悪用ツールキット「Blackhole」にこの脆弱性を悪用する機能が組み込まれているという。ロシアのセキュリティ企業Group-IBが11月7日に伝えた。

 Group-IBによれば、この脆弱性は細工を施したPDFを使って悪用される恐れがあり、Adobe Reader Xから実装されたセキュリティ機能のサンドボックスが迂回され、シェルコードが実行されてしまう可能性もあるという。

 この脆弱性に関する情報は、ブラックマーケットで3万~5万ドルという値段で取引されているといい、「現時点では少数の間で出回っているにすぎないが、いずれ悪用が広がる可能性がある」とGroup-IBは指摘する。

 Blackholeは銀行の口座情報を盗み出すZeusやSpyeyeなどのマルウェア配布に使われているツールキットで、もし実際にAdobe Readerの未解決の脆弱性が悪用されているとすれば、深刻な影響を及ぼす恐れもある。

 Group-IBはAdobe Reader最新版のXI(11.0)でこの脆弱性が悪用できることを示したコンセプト実証デモをYouTubeに掲載している。

 Adobe広報はセキュリティ情報サイトの米Krebs on Securityに対し、Group-IBからの接触はなく、詳しい情報が入手できないため、まだこの脆弱性については確認できていないと説明している。

livedoorニュース
http://news.livedoor.com/article/detail/7124755/