Adobe Flashゼロデイ欠陥の誘因となる悪質なPDFドキュメント 2009年7月23日
Adobe Flashゼロデイ欠陥の誘因となる悪質なPDFドキュメント
危険度: 中
2009年7月23日
【概要】
対象:
Windows / Mac / Linux などで使用している Adobe Flash Playerのバージョン 9、バージョン 10
攻撃方法:
悪質な PDF ドキュメントをユーザが閲覧するように誘導する
(他にFlashコンテンツをユーザに閲覧させる方法もあり)
影響:
攻撃者がユーザのコンピュータを完全に操作できるようになる可能性がある
対策:
Adobe はこの問題に対応するパッチを7月30日と31日にリリースする予定なので、それまでは次の回避策を講じることをすすめる
【詳細】
ウェブ・ブラウザにプラグインするAdobe のFlash Playerは、Flash コンテンツを閲覧できるようにするマルチメディア・プレイヤーだ。Flash は常に最初からインストールされているものではないが、大半のユーザは動的なウェブページを閲覧するためにインストールしている。
米国時間の7月23日に公開したセキュリティ・アドバイザリで、Adobe はWindowsやMacintosh、Linux などのコンピュータで使用しているAdobe Flash Playerのバージョン9とバージョン10に影響している深刻な脆弱性について説明している。Adobe は、セキュリティ研究者達が最近発見した、実際に攻撃者が一般で悪用しているゼロデイ悪用コードに応える形でこのアドバイザリをリリースした。現在、この悪用方法は悪質なPDFファイルとして出回っているが、脆弱性はその細工されたファイルに埋め込まれたFlash コンテンツにある。実際に悪用されているこの悪用方法は細工されたPDF ファイルとして送られてくるが、攻撃者はおそらく悪質なFlash コンテンツをホストする方法でも、このFlash脆弱性を悪用できるものと思われる。
Adobeはセキュリティ・アドバイザリで欠陥の技術詳細については触れていないが、Adobe ReaderやAcrobat v9.xに搭載されているauthplay.dll コンポーネントに関与していると述べている。攻撃者が、悪質なPDFファイルをユーザがダウンロードするように仕向け、それを閲覧させるように誘導した場合、または細工したFlashコンテンツをユーザに閲覧させるようにすると、攻撃者はこの未特定脆弱性を悪用しユーザの特権を得た状態で、ユーザのコンピュータでコードを実行できるようになる。他のケースと同様、ユーザにローカル管理者の権限があった場合やルート特権が与えられていた場合は、ユーザのコンピュータを攻撃者が完全に操作することが可能になる。
セキュリティ研究者達がこの問題を最初に発見した時点で、攻撃者達はすでに一般の環境下で実際にこれを悪用していたため、この問題はAdobe Flash やReader のユーザにとって深刻なリスクである。攻撃者達が問題のないウェブサイトをハイジャックし、このゼロデイ悪用を使って罠を仕掛けていると暗示するレポートも中にはあるので、できるかぎり早急に回避策を講じることをすすめる。
【対策】
この悪用方法がセキュリティ研究者達により発見された時点で、攻撃者達はすでにこれを実際に悪用していた。そういった時間の関係により、AdobeはFlash Playerのパッチをまだリリースしていない。しかし、Adobeは7月30日と31日にパッチをリリースする予定なので(Flashを使用しているプラットフォームにより日にちが異なる)、パッチが公開されるまでは次の回避策を講じ、この悪用によるリスクを緩和させることをすすめる。
ウォッチガードのFirebox製品の中には、ウェブ (HTTP) やメール (SMTP/POP3)からPDF ファイル(.PDF) をユーザがダウンロードできないようにするものもある。対策としてはFireboxのプロキシ・サービスを使って .PDF ファイルをネットワークから遮断し、この問題によるリスクを一時的に緩和させるという方法もある。 但し、多くの企業がPDF ドキュメントの使用に依存しているため、この回避策を講じることで特に問題のないPDF ファイルも閲覧できなくなることに注意しよう。
PDFドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定すること。手順詳細については次のビデオを参照することをすすめる(注:英語音声のみ)。
【ステータス】
AdobeはFlash Playerの修正パッチをまだ公開していないが、この問題に対応するパッチを7月30日と31日にリリースする予定。修正パッチが公開され次第、連絡する。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 中
2009年7月23日
【概要】
対象:
Windows / Mac / Linux などで使用している Adobe Flash Playerのバージョン 9、バージョン 10
攻撃方法:
悪質な PDF ドキュメントをユーザが閲覧するように誘導する
(他にFlashコンテンツをユーザに閲覧させる方法もあり)
影響:
攻撃者がユーザのコンピュータを完全に操作できるようになる可能性がある
対策:
Adobe はこの問題に対応するパッチを7月30日と31日にリリースする予定なので、それまでは次の回避策を講じることをすすめる
【詳細】
ウェブ・ブラウザにプラグインするAdobe のFlash Playerは、Flash コンテンツを閲覧できるようにするマルチメディア・プレイヤーだ。Flash は常に最初からインストールされているものではないが、大半のユーザは動的なウェブページを閲覧するためにインストールしている。
米国時間の7月23日に公開したセキュリティ・アドバイザリで、Adobe はWindowsやMacintosh、Linux などのコンピュータで使用しているAdobe Flash Playerのバージョン9とバージョン10に影響している深刻な脆弱性について説明している。Adobe は、セキュリティ研究者達が最近発見した、実際に攻撃者が一般で悪用しているゼロデイ悪用コードに応える形でこのアドバイザリをリリースした。現在、この悪用方法は悪質なPDFファイルとして出回っているが、脆弱性はその細工されたファイルに埋め込まれたFlash コンテンツにある。実際に悪用されているこの悪用方法は細工されたPDF ファイルとして送られてくるが、攻撃者はおそらく悪質なFlash コンテンツをホストする方法でも、このFlash脆弱性を悪用できるものと思われる。
Adobeはセキュリティ・アドバイザリで欠陥の技術詳細については触れていないが、Adobe ReaderやAcrobat v9.xに搭載されているauthplay.dll コンポーネントに関与していると述べている。攻撃者が、悪質なPDFファイルをユーザがダウンロードするように仕向け、それを閲覧させるように誘導した場合、または細工したFlashコンテンツをユーザに閲覧させるようにすると、攻撃者はこの未特定脆弱性を悪用しユーザの特権を得た状態で、ユーザのコンピュータでコードを実行できるようになる。他のケースと同様、ユーザにローカル管理者の権限があった場合やルート特権が与えられていた場合は、ユーザのコンピュータを攻撃者が完全に操作することが可能になる。
セキュリティ研究者達がこの問題を最初に発見した時点で、攻撃者達はすでに一般の環境下で実際にこれを悪用していたため、この問題はAdobe Flash やReader のユーザにとって深刻なリスクである。攻撃者達が問題のないウェブサイトをハイジャックし、このゼロデイ悪用を使って罠を仕掛けていると暗示するレポートも中にはあるので、できるかぎり早急に回避策を講じることをすすめる。
【対策】
この悪用方法がセキュリティ研究者達により発見された時点で、攻撃者達はすでにこれを実際に悪用していた。そういった時間の関係により、AdobeはFlash Playerのパッチをまだリリースしていない。しかし、Adobeは7月30日と31日にパッチをリリースする予定なので(Flashを使用しているプラットフォームにより日にちが異なる)、パッチが公開されるまでは次の回避策を講じ、この悪用によるリスクを緩和させることをすすめる。
- authplay.dllを削除
Adobeはアドバイザリで authplay.dllというAdobe Readerファイルを削除するように呼びかけている。この回避策では、攻撃者がReader やAcrobatを通じてこの欠陥を悪用できないようにすることができるが、そうすることでFlash コンテンツを含むPDF ファイルすべてを開くことができないようになる。とは言っても、攻撃者は通常のFlash コンテンツを使ってこの欠陥を悪用することもでき、その場合はReader対象のこの対策は適用できない。
- killbit
をAdobeのFlash Playerに設定
Adobeは承認していないが、攻撃者は悪質なFlash コンテンツを使ってこの脆弱性を悪用することもできると我々は見ている。インターネット・エクスプローラ (IE) を使用している場合は、killbit をAdobeのFlash Playerに設定することができるので、IE がAdobe Flash PlayerのFlash コンテンツを再生できないようにすることが可能になる。しかし、そうすることで問題のないFlash コンテンツを再生することも不可能になるので注意が必要だ。killbit設定の詳細については、マイクロソフトのナレッジベースの記事を参照にすることをすすめる。Flash PlayerのCLSIDはBD96C556-65A3-11D0-983A-00C04FC29E36だ。
- Firefox
ユーザはNoScriptの拡張子をインストール
NoScript は、デフォルトでJavaScriptやJava、Flash、その他の実行可能ウェブコンテンツをウェブサイトで使えないようにする。また、NoScriptはブラウザウィンドウでPDFが自動的にレンダリングしないようにすることもできる。NoScript は問題のないウェブサイトもスクリプトを実行できないようにしてしまうので、信頼するサイトはホワイトリストに追加し、そうしたサイトが必要なコンテンツは実行できるように設定することが可能。
- PDF
ファイルを遮断する
ウォッチガードのFireboxのようなゲートウェイ・デバイスを使用して .PDF ファイルがネットワークに入り込まないようにする。詳細については次の欄を参照。
ウォッチガードのFirebox製品の中には、ウェブ (HTTP) やメール (SMTP/POP3)からPDF ファイル(.PDF) をユーザがダウンロードできないようにするものもある。対策としてはFireboxのプロキシ・サービスを使って .PDF ファイルをネットワークから遮断し、この問題によるリスクを一時的に緩和させるという方法もある。 但し、多くの企業がPDF ドキュメントの使用に依存しているため、この回避策を講じることで特に問題のないPDF ファイルも閲覧できなくなることに注意しよう。
PDFドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定すること。手順詳細については次のビデオを参照することをすすめる(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
AdobeはFlash Playerの修正パッチをまだ公開していないが、この問題に対応するパッチを7月30日と31日にリリースする予定。修正パッチが公開され次第、連絡する。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。