現在地 HOME > 掲示板 > 昼休み4 > 500.html ★阿修羅♪ |
|
Tweet |
PDFファイル閲覧ソフト「Xpdf」に危険なセキュリティ・ホール【IT_Pro】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041223/154247/
[2004/12/23] バックナンバー
米iDEFENSEは米国時間12月21日,PDF(Portable Document Format)ファイル閲覧ソフト「Xpdf」に見つかったセキュリティ・ホールを公表した。細工が施されたPDFファイルを読む込むだけで,悪質なプログラムを実行させられる可能性がある。対策はパッチを適用することなど。
XpdfはオープンソースのPDFファイル閲覧ソフトであり,Linuxディストリビューションなどに含まれている。iDEFENSEによれば,今回のセキュリティ・ホールはXpdfのバージョン3.00で確認しているという。ただし,これ以前のバージョンにも同様のセキュリティ・ホールが存在するだろうとしている。
iDEFENSEでは,以下のディストリビューションに,セキュリティ・ホールがあるXpdfが含まれていることを確認しているという。
* SUSE Linux
* Red Hat Linux
* Fedora Core
* Debian Linux
* Gentoo Linux
* FreeBSD (ports)
* OpenBSD
対策はパッチを適用すること。あるいはパッチを適用したバージョンにアップグレードすること。Xpdfバージョン3.00のソース・コードに適用するパッチ・ファイル(xpdf-3.00pl2.patch)や,パッチを適用済みのバイナリ・ファイル(Xpdf バージョン 3.00pl2)が,Xpdfの「Download」ページから入手できる。今後,各ディストリビューション・ベンダーからも,アップデート用のパッケージが公開されるだろう。
また,iDEFENSEでは「信頼できる相手から入手したPDFファイル以外は開かない」ことも回避策として挙げている。
◎参考資料
◆Multiple Vendor xpdf PDF Viewer Buffer Overflow Vulnerability(米iDEFENSE)
◆xpdf "doImage()" Buffer Overflow Vulnerability(デンマークSecunia)
◆Xpdf:Download
(勝村 幸博=IT Pro)