先日の
PDFは被害を受けやすいとかの件でFoxitの対策版がリリースされました。
Adobe同様、警告メーッセージが表示されることに……元々警告メッセージを表示してるAdobeが叩かれているのに、Foxitったらお茶目さん(はぁと) orz
Foxit Software - Downloads - Foxit Reader 3.0 Build 1506(中身は3.2.1です)
reader
3.2.1.0401.htmlのタイトルがFoxit Reader
3.0 Build 1506とは是れ如何に。
さらに信じられないのが、脆弱性のあるバージョンが
ダウンロードの一覧に
New付で表示。
禺画像]
細かいと言われるかもしれませんが、逆にこういうことが気にならないベンダーのセキュリティ意識はどんなものかと思うわけです。
Bug Fix List for Foxit Reader
Fixed in Foxit Reader 3.2.1.0401
1. Fixed a security issue that Foxit Reader runs an executable embedded program inside a PDF automatically without asking for user’s permission.
Foxit Software - Foxit Reader 3.0 for Windows
Authorization Bypass When Executing An Embedded Executable.
SUMMARY
Fixed a security issue that Foxit Reader runs an executable embedded program inside a PDF automatically without asking for user’s permission.
AFFECTED SOFTWARE VERSION
Foxit Reader 3.2.0.0303.
SOLUTION
Please do one of the followings:
- Please go to "Check for Updates Now" in Reader help menu to update to the latest version 3.2.1.0401
- Click here to download the updated version now.
私はコマンド実行の許可を問うだけでなく、JavaScriptのようにオプションで常にコマンド実行不可に設定できて欲しかったのですが……乗換先はどのソフトにしよっかな。
参考:
2010.04.02 金曜日 - UnderForge of Lack
Here’s the official response from Adobe:
(中略)
えーっと、「仕様なんだからしようがないだろ!信頼できないPDFをひらくんじゃない(超意訳)」ってことでいいですか?
Foxit側:
(中略)
72時間以内になんとかするからちょっとまってね(はぁと)
あまりにも違う両者の対応に愕然としないようにしましょう
Adobe Foxit
実は同じで驚愕しましたよと。\(^o^)/\(^o^)/
追記:
セキュリティホール memo
Foxit Reader は [開く] がデフォルトなんだよねえ。
Adobe Reader は [開かない] がデフォルトなのですが。
Adobeと一緒かと思っていたら、Adobe以下だったのか。\(^o^)/オワタ
セコメントをする