★阿修羅♪ 現在地 HOME > 掲示板 > 昼休み4 > 500.html
 ★阿修羅♪
次へ 前へ
PDFファイル閲覧ソフト「Xpdf」に危険なセキュリティ・ホール【IT_Pro】
http://www.asyura2.com/0411/lunchbreak4/msg/500.html
投稿者 クエスチョン 日時 2004 年 12 月 24 日 22:36:24:WmYnAkBebEg4M
 

PDFファイル閲覧ソフト「Xpdf」に危険なセキュリティ・ホール【IT_Pro】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041223/154247/

[2004/12/23] バックナンバー

 米iDEFENSEは米国時間12月21日,PDF(Portable Document Format)ファイル閲覧ソフト「Xpdf」に見つかったセキュリティ・ホールを公表した。細工が施されたPDFファイルを読む込むだけで,悪質なプログラムを実行させられる可能性がある。対策はパッチを適用することなど。

 XpdfはオープンソースのPDFファイル閲覧ソフトであり,Linuxディストリビューションなどに含まれている。iDEFENSEによれば,今回のセキュリティ・ホールはXpdfのバージョン3.00で確認しているという。ただし,これ以前のバージョンにも同様のセキュリティ・ホールが存在するだろうとしている。

 iDEFENSEでは,以下のディストリビューションに,セキュリティ・ホールがあるXpdfが含まれていることを確認しているという。

* SUSE Linux
* Red Hat Linux
* Fedora Core
* Debian Linux
* Gentoo Linux
* FreeBSD (ports)
* OpenBSD

 対策はパッチを適用すること。あるいはパッチを適用したバージョンにアップグレードすること。Xpdfバージョン3.00のソース・コードに適用するパッチ・ファイル(xpdf-3.00pl2.patch)や,パッチを適用済みのバイナリ・ファイル(Xpdf バージョン 3.00pl2)が,Xpdfの「Download」ページから入手できる。今後,各ディストリビューション・ベンダーからも,アップデート用のパッケージが公開されるだろう。

 また,iDEFENSEでは「信頼できる相手から入手したPDFファイル以外は開かない」ことも回避策として挙げている。

◎参考資料
◆Multiple Vendor xpdf PDF Viewer Buffer Overflow Vulnerability(米iDEFENSE)
◆xpdf "doImage()" Buffer Overflow Vulnerability(デンマークSecunia)
◆Xpdf:Download

(勝村 幸博=IT Pro)

 次へ  前へ

昼休み4掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。