NEWS(10/10/08 17:51)

「Foxit Reader」に“Highly critical”な脆弱性、最新版のv4.2で解消済み

電子署名の検証を強化したほか、ASLR/DEPといったセキュリティ技術にも対応

「Foxit Reader」v4.2「Foxit Reader」v4.2

  デンマークのセキュリティベンダーSecuniaは6日(現地時間)、PDFビューワーソフト「Foxit Reader」のv4.1以前に重大な脆弱性が存在することを発表した。

 脆弱性の内容は、ウィンドウのタイトルを設定する際に境界エラーが発生するというもので、同社基準で5段階中上から2番目の“Highly critical”と評価されている。非常に長いタイトルをもつ細工されたPDFファイルを読み込もうとすると、スタックオーバーフローが引き起こされ、任意コードの実行を許す恐れがあるという。

 なお、この脆弱性は9月30日に公開されている「Foxit Reader」の最新版v4.2へ更新することで解消可能。

 そのほか、「Foxit Reader」v4.2では電子署名の検証を強化し、検証プロセスが国際規格“ISO 32000”へ準拠するよう改善した。また、メモリの配置をランダム化して、攻撃者による特定メモリアドレスの悪用を困難にするASLR(Address Space Layout Randomization)や、バッファオーバーフローで管理外のメモリ内容を実行するのを防ぐDEP(Data Execution Prevention)といったセキュリティ技術への対応も進められている。

 「Foxit Reader」は、Windows 2000/XP/Server 2003/Vista/7に対応するフリーソフトで、現在開発元であるFoxit CorporationのWebサイトや窓の杜ライブラリからダウンロードできる。

【著作権者】
Foxit Corporation
【対応OS】
Windows 2000/XP/Server 2003/Vista/7
【ソフト種別】
フリーソフト
【バージョン】
4.2(10/09/30)

(柳 英俊)