アドビシステムズは3日、Windows版とMac OS版の「Adobe Creative Suite 2.0」「Adobe Photoshop CS2」「Adobe Illustrator CS2」などにファイルパーミッションの脆弱性があると発表した。権限のないローカルユーザーによってプログラムファイルの内容が改竄される恐れがあるという。仏セキュリティ調査機関のFrSIRTによれば、危険度は4段階中で下から2番目の“Moderate Risk”。すでに脆弱性の修正プログラムも提供している。
アドビシステムズによれば、Photoshop CS2、Illustrator CS2、Adobe Help Centerで、主要なプログラムファイルを権限のないローカルユーザーによって改竄される脆弱性を確認したという。共有システムや複数ユーザーが利用しているシステムでこの脆弱性が悪用された場合、プログラムファイルの置き換え、有害なコードの読み込みや書き出し、データの破壊などが行われる恐れがある。
なお、今回の脆弱性は、米プリンストン大学のSudhakar Govindavajhala氏とAndrew W.Apple氏が指摘したもの。両氏が1月31日に公開したレポート「Windows Access Control Demystified」でも言及している。
両氏のレポートによれば、米プリンストン大学セキュアインターネットプログラム研究所で開発した脆弱性検出ツール「MulVAL(Multihost, Multistage, Vulnerabilty Analysis)」は、アドビ製品以外にも同様の脆弱性をAOLやMacromediaのソフトウェア、Windows XP Professionalの「UPnP」「SSDP」「NetBT」「SCardSvr」などのサービスで確認したという。
このうち、Windows XPの「UPnP」「SSDP」などでは修正されておらず、FrSIRTではWindows XP SP2/SP2に権限昇格の脆弱性があるとして、危険度“Moderate Risk”で警告している。
関連情報
■URL
アドビシステムズによる脆弱性情報
http://support.adobe.co.jp/faq/faq/qadoc.sv?227932+002
FrSIRTによるAdobe製品の脆弱性情報(英文)
http://www.frsirt.com/english/advisories/2006/0431
FrSIRTによるWindows XPの脆弱性情報(英文)
http://www.frsirt.com/english/advisories/2006/0417
Govindavajhala氏とApple氏のレポート(PDF、英文)
http://www.cs.princeton.edu/~sudhakar/papers/winval.pdf
( 鷹木 創 )
2006/02/06 18:50
- ページの先頭へ-
|