Adobe Reader の新しいゼロデイ脆弱性2件 2009年4月28日
Adobe Reader の新しいゼロデイ脆弱性2件
危険度:高
2009年4月28日
【概要】
対象:
Windows、Mac、*nixで使用しているAdobe ReaderやAcrobat 9.1 とそれ以前のバージョン
攻撃方法:
細工したPDFドキュメントをユーザが閲覧するように仕向ける
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」欄を参照し、状況に見合った対策を講じること
【詳細】
SecurityFocusは一般の環境下でAdobe Readeのゼロデイ悪用を新たに発見し、米国時間の4月28日にそれについて説明したアドバイザリをリリースした。「Arr1val」 と自称する者による概念実証(PoC)の悪用方法は、Adobe Readerの"getAnnots()"という機能に見られる欠陥を利用している。Arr1valは新たに2つのゼロデイ悪用をリリースしており、2つめの悪用方法は"spell.customDictionaryOpen()."という先とはまた別のAdobe Readerの機能を利用する。コードによれば、Arr1valがLinux用のAdobe Reader 9.1と8.1.4を使ってこうした欠陥を確認したように見て取れるが、この欠陥は様々なプラットフォームで使われている現バージョンのReaderすべてにおいて影響しているだろうと我々は見ている。
攻撃者はユーザが悪質なPDFドキュメントをダウンロードし、それを開くように誘導すると、パッチが用意されていないReaderの脆弱性を悪用してユーザの特権を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の権限がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
Adobeはこのインシデントについて短いブログを掲載、問題を調査中であると述べている。この脆弱性は一般において実際に悪用することができるだけでなく、Adobeによる修正パッチがまだ用意されていないことから、Adobe Readerの利用者達にとって深刻なリスクである。パッチがリリースされるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
Adobeはこのゼロデイ脆弱性の修正パッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっている攻撃のリスクを軽減させることができるだろう。
ウォッチガード・ユーザ: 送信されてきたPDFファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもPDF ファイルが必要であるというのでなければ、Adobe がパッチを用意するまではFireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止することを検討するオプションもある。
PDFドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
【ステータス】
Adobeがパッチを公開次第、連絡する。それまでは先に説明した対策を実施することをすすめる。
【参考資料】
SecurityFocus Adobe Reader アドバイザリ
Adobe のブログ
Adobe Reader getAnnots()悪用コード
Adobe Reader spell.customDictionaryOpen() 悪用コード
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2009年4月28日
【概要】
対象:
Windows、Mac、*nixで使用しているAdobe ReaderやAcrobat 9.1 とそれ以前のバージョン
攻撃方法:
細工したPDFドキュメントをユーザが閲覧するように仕向ける
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」欄を参照し、状況に見合った対策を講じること
【詳細】
SecurityFocusは一般の環境下でAdobe Readeのゼロデイ悪用を新たに発見し、米国時間の4月28日にそれについて説明したアドバイザリをリリースした。「Arr1val」 と自称する者による概念実証(PoC)の悪用方法は、Adobe Readerの"getAnnots()"という機能に見られる欠陥を利用している。Arr1valは新たに2つのゼロデイ悪用をリリースしており、2つめの悪用方法は"spell.customDictionaryOpen()."という先とはまた別のAdobe Readerの機能を利用する。コードによれば、Arr1valがLinux用のAdobe Reader 9.1と8.1.4を使ってこうした欠陥を確認したように見て取れるが、この欠陥は様々なプラットフォームで使われている現バージョンのReaderすべてにおいて影響しているだろうと我々は見ている。
攻撃者はユーザが悪質なPDFドキュメントをダウンロードし、それを開くように誘導すると、パッチが用意されていないReaderの脆弱性を悪用してユーザの特権を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の権限がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
Adobeはこのインシデントについて短いブログを掲載、問題を調査中であると述べている。この脆弱性は一般において実際に悪用することができるだけでなく、Adobeによる修正パッチがまだ用意されていないことから、Adobe Readerの利用者達にとって深刻なリスクである。パッチがリリースされるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
Adobeはこのゼロデイ脆弱性の修正パッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっている攻撃のリスクを軽減させることができるだろう。
- 脆弱性についてユーザに連絡
- 予期していないPDFドキュメントが添付されたメールには警戒するよう忠告すること。そのドキュメントがどうしても必要であるというのでもなく、また送信者を信頼することができない場合はAdobe Readerの修正パッチを取り入れるまで、そのドキュメントを開かない方がいいだろう。
- 最新版にアップデートしているウィルス対策ソフトウェア(AV)を使用
AVベンダーは、このような新しい悪用に対するシグネチャをリリースするので使用しているウィルス対策ソフトを必ず最新のものにしておくこと。
- Adobe ReaderのJavaScriptを無効にする
Adobe ReaderのJavaScriptを無効にすることでこうした悪用を阻止することが可能。Adobe ReaderでJavaScriptを無効にするには Edit(編集) => Preferences(環境設定) => JavaScript に行き、 Enable Acrobat JavaScript(Acrobat JavaScriptを無効にする)を選択すること。しかし、そうすることで問題のないPDFドキュメントでもJavaScriptが実行されないようになる点に注意しよう。
- Fireboxのようなゲートウェイ・デバイスを使用してPDF
を遮断する
ユーザがPDF ファイルをダウンロードすることができなければ、こうした悪用の影響を受けることはないのだが、残念ながらそうすることで正常なPDFファイルも阻止してしまうことになる。ビジネス環境のニーズによってはAdobeがパッチをリリースするまでPDFファイルをブロックしておいた方がいい場合もあるだろう。
- 別のPDFリーダーを使用する
Adobe Readerに見られるこうした脆弱性から発生するリスクを緩和させるには、別のPDFリーダーを使用するという方法もある。しかし、他のPDFリーダーにもセキュリティ問題がある可能性もあるのでその場合は注意が必要だが、攻撃者は主に人気があるAdobe Readerを標的としている模様だ。ビジネス環境のニーズに合うならば、別のPDFリーダーを試してみるのもいいだろう。その他リーダーのリストについては次のリンクを参照することをすすめる。
ウォッチガード・ユーザ: 送信されてきたPDFファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもPDF ファイルが必要であるというのでなければ、Adobe がパッチを用意するまではFireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止することを検討するオプションもある。
PDFドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
Adobeがパッチを公開次第、連絡する。それまでは先に説明した対策を実施することをすすめる。
【参考資料】
SecurityFocus Adobe Reader アドバイザリ
Adobe のブログ
Adobe Reader getAnnots()悪用コード
Adobe Reader spell.customDictionaryOpen() 悪用コード
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。