「Ghostscript」の脆弱性、PDF仮想プリンター「CubePDF」にも影響 ～対策版が公開

入力ファイルをチェックする処理を追加

　（株）キューブ・ソフトは8月27日、無料のPDF作成ソフト「CubePDF」のv1.0.0RC13を公開した。今回のアップデートでは、「Ghostscript」の脆弱性に対する緩和策が導入されている。

　「CubePDF」はPDFドキュメントやPNG画像などを変換するために内部で「Ghostscript」を利用しているが、「Ghostscript」には未修正の脆弱性が存在することが明らかになっている。JPCERT/CCによると、細工が施されたPostScriptファイルを読み込むだけで任意のコマンドを実行される可能性があるとのことで、注意が必要だ。

　「CubePDF」はPostScriptファイルを扱っているが、Windows向けのプリンタードライバーによって生成されたものに限られている。外部由来のファイルを扱うことはないため、脆弱性の影響を受ける可能性は低いと見込まれている。しかし、SHA-256ハッシュ値でファイルの正当性をチェックする処理が念のため追加されているという。もしチェック処理でプリンタードライバーが生成したファイルであると保証できなかった場合は、ファイルの破損・改竄を警告するエラーメッセージが表示され、処理が中断される。

　なお、本脆弱性に対するパッチはすでにリリースされているが、まだ不完全であるとのこと。対策が完了するのは9月になる見込みだ。同社は「Ghostscript」側のアップデートが完了し次第、最終的な修正版をリリースするとしている。

　「CubePDF」は、仮想プリンターとして動作するPDF作成ソフト。印刷機能を備えたソフトから仮想プリンターとして呼び出してPDFファイルを作成できる。64bit版を含むWindows 7以降に対応するフリーソフトで、現在同社のWebサイトや窓の杜ライブラリからダウンロードできる。