【コラム】セキュリティWatch (2) Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性 | エンタープライズ | マイナビニュース(情報元のブックマーク数)
ブラックマーケットの価格感が出ています。
11月7日、ロシアのセキュリティ企業 Group-IB により、Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性が確認されています。 http://www.group-ib.com/index.php/7-novosti/672-group-ib-us-zero-day-vulnerability-found-in-adobe-x%22 同社によると Exploit はブラックマーケットで 30,000 〜 50,00 USD で取引されており攻撃ツールである Blackhole Exploit-Kit に既に組み込まれているとのことです。 現時点で有効な対策はなく、情報が提供されるまでの間は Adobe Reader を使用しないことをお勧めします。 YouTube で検証コード(PoC) を実行した動画が公開されています。
セキュリティWatch(2) Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性 | マイナビニュース
ここ重要ですね、AdobeさんはMicrosoftのSDLの考え方をおそわったようです。
2009 年 Adobe Reader の脆弱性は多くの攻撃に利用されており、それを受け Adobe Systems 社は Microsoft や Google の開発チームの協力の下、サンドボックス機能(プロテクトモード)を備えた Adobe Reader X を 2010 年にリリースしました。
セキュリティWatch(2) Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性 | マイナビニュース