Adobe Readerのゼロデイ脆弱性でPDF ファイルが危険な状態に(アップデート)2009年3月11日
Adobe Reader のゼロデイ脆弱性でPDF ファイルが危険な状態に(アップデート)
危険度:高
2009年3月11日
アップデート:
LiveSecurityは2月20日に、WindowsやMac、Unixなどで悪用することができるAdobe ReaderとAcrobatに見られるゼロデイ脆弱性について読者に注意を呼び掛けた。この問題を最初に報告した時点で、攻撃者達はすでにこの重大なセキュリティ問題を一般の状況下で実際に悪用していた。LiveSecurityでは、Adobeがこの問題に対応するパッチをリリース次第、アップデートで知らせると報告したが、3月10日にAdobeはそのパッチをリリースした。
Adobeがリリースしたセキュリティ情報には、この脆弱性に関する新たな点は説明されておらず、むしろその欠陥に関する情報は乏しいものである。しかし、攻撃者が加工したPDFファイルをユーザが開くように誘導することで、ユーザのコンピュータでコードを実行できるという点は確認されている。
また、同社は「この問題が一般の状況下で実際に悪用されているという報告もある」と認めている。
しかし、Adobeが公表している脆弱性の解決方法は残念ながら部分的なものである。具体的に言うと、AdobeはWindowsやMacでAdobe ReaderやAcrobatバージョン9を使用しているユーザには欠陥を完全に修正したアップデートをリリースしている。このため、対象となるユーザは脆弱性を修正するバージョン9.1にアップグレードすることをすすめるが、対象外となるUnixユーザは解決策を待たなければならない。Adobeによれば、Unix用のバージョン9.1は3月25日までリリース予定はないという。またAdobeは、旧バージョンのReaderやAcrobatに対応するアップデートもまだリリースしていない。バージョン7やバージョン8のアップデート版は、3月18日まで用意されないという。
Windows またはMac で最新版のAdobe
ReaderやAcrobatを使用している場合は、できる限り早急にバージョン9.1をダウンロード(日本語サイト)し、インストールすることをすすめる。AdobeのUpdaterソフトウェアを無効にしていなければ、新バージョンの9.1は自動的に受取ることができる。旧バージョンのReaderやAcrobatを使用している場合はリリース予定日を同社のサイトでチェックし、アップデートを入手すること。また、これまでパッチが用意されていなかったため、リスクを緩和することを目的に一時的にPDFファイルを阻止するようFireboxを設定していた場合は、このパッチを導入すれば再びPDFを許可できる。
この脆弱性に関する詳細については、2月20日のLiveSecurity Alert を参照することをすすめる。
2月20日付のLiveSecurity Alert:
Adobe Reader のゼロデイ脆弱性でPDF ファイルが危険な状態に
危険度: 高
2009年2月20日
【概要】
対象:
Windows、Mac、*nixで使用しているAdobe ReaderやAcrobat 9 とそれ以前のバージョン
攻撃方法:
細工したPDFドキュメントをユーザが閲覧するように仕向ける
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」欄を参照し、状況に見合った対策を講じること
【詳細】
米国時間の2月19日、Shadowserver FoundationとAdobeは修正パッチが用意されていないバッファ・オーバーフローの深刻な脆弱性について注意を呼び掛けた。この問題はAdobe ReaderとAcrobat 9を実行する様々なプラットフォームに影響を与えている。Shadowserver Foundationは、攻撃者がこの新しい脆弱性を一般の状況下で実際に悪用しているのを最初に発見した。また、Adobeはつい最近この欠陥について知ったため、詳細については説明しておらず、攻撃者がどのようにその脆弱性を悪用するかについてのみ解説している。攻撃者は、ユーザが悪質なPDFドキュメントをダウンロードし、それを閲覧するように仕向けると修正パッチが用意されていないこの脆弱性を悪用し、ユーザの特権を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用することができるだけでなく、Adobeによる修正パッチがまだ用意されていないことから、この欠陥はAdobe Readerの利用者達にとって深刻なリスクである。Adobeは、公開したアドバイザリで脆弱性の修正パッチを3月11日(水)にリリースする予定であると述べているので、それまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
Adobeはこのゼロデイ脆弱性の修正パッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっているこの攻撃のリスクを軽減させることができるだろう。
ウォッチガード・ユーザ:
送信されてきたPDFファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもPDFファイルが必要であるというのでなければ、3月11日まではFireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止することを検討するオプションもある。PDFドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定すること。
手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
【ステータス】
Adobeは3月11日にパッチをリリースする予定なので、それまでは先に説明した対策を実施することをすすめる。
【参考資料】
Adobeのセキュリティ情報
Shadowserver Foundationアドバイザリ
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。
危険度:高
2009年3月11日
アップデート:
LiveSecurityは2月20日に、WindowsやMac、Unixなどで悪用することができるAdobe ReaderとAcrobatに見られるゼロデイ脆弱性について読者に注意を呼び掛けた。この問題を最初に報告した時点で、攻撃者達はすでにこの重大なセキュリティ問題を一般の状況下で実際に悪用していた。LiveSecurityでは、Adobeがこの問題に対応するパッチをリリース次第、アップデートで知らせると報告したが、3月10日にAdobeはそのパッチをリリースした。
Adobeがリリースしたセキュリティ情報には、この脆弱性に関する新たな点は説明されておらず、むしろその欠陥に関する情報は乏しいものである。しかし、攻撃者が加工したPDFファイルをユーザが開くように誘導することで、ユーザのコンピュータでコードを実行できるという点は確認されている。
また、同社は「この問題が一般の状況下で実際に悪用されているという報告もある」と認めている。
しかし、Adobeが公表している脆弱性の解決方法は残念ながら部分的なものである。具体的に言うと、AdobeはWindowsやMacでAdobe ReaderやAcrobatバージョン9を使用しているユーザには欠陥を完全に修正したアップデートをリリースしている。このため、対象となるユーザは脆弱性を修正するバージョン9.1にアップグレードすることをすすめるが、対象外となるUnixユーザは解決策を待たなければならない。Adobeによれば、Unix用のバージョン9.1は3月25日までリリース予定はないという。またAdobeは、旧バージョンのReaderやAcrobatに対応するアップデートもまだリリースしていない。バージョン7やバージョン8のアップデート版は、3月18日まで用意されないという。
Windows またはMac で最新版のAdobe
ReaderやAcrobatを使用している場合は、できる限り早急にバージョン9.1をダウンロード(日本語サイト)し、インストールすることをすすめる。AdobeのUpdaterソフトウェアを無効にしていなければ、新バージョンの9.1は自動的に受取ることができる。旧バージョンのReaderやAcrobatを使用している場合はリリース予定日を同社のサイトでチェックし、アップデートを入手すること。また、これまでパッチが用意されていなかったため、リスクを緩和することを目的に一時的にPDFファイルを阻止するようFireboxを設定していた場合は、このパッチを導入すれば再びPDFを許可できる。
この脆弱性に関する詳細については、2月20日のLiveSecurity Alert を参照することをすすめる。
2月20日付のLiveSecurity Alert:
Adobe Reader のゼロデイ脆弱性でPDF ファイルが危険な状態に
危険度: 高
2009年2月20日
【概要】
対象:
Windows、Mac、*nixで使用しているAdobe ReaderやAcrobat 9 とそれ以前のバージョン
攻撃方法:
細工したPDFドキュメントをユーザが閲覧するように仕向ける
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」欄を参照し、状況に見合った対策を講じること
【詳細】
米国時間の2月19日、Shadowserver FoundationとAdobeは修正パッチが用意されていないバッファ・オーバーフローの深刻な脆弱性について注意を呼び掛けた。この問題はAdobe ReaderとAcrobat 9を実行する様々なプラットフォームに影響を与えている。Shadowserver Foundationは、攻撃者がこの新しい脆弱性を一般の状況下で実際に悪用しているのを最初に発見した。また、Adobeはつい最近この欠陥について知ったため、詳細については説明しておらず、攻撃者がどのようにその脆弱性を悪用するかについてのみ解説している。攻撃者は、ユーザが悪質なPDFドキュメントをダウンロードし、それを閲覧するように仕向けると修正パッチが用意されていないこの脆弱性を悪用し、ユーザの特権を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用することができるだけでなく、Adobeによる修正パッチがまだ用意されていないことから、この欠陥はAdobe Readerの利用者達にとって深刻なリスクである。Adobeは、公開したアドバイザリで脆弱性の修正パッチを3月11日(水)にリリースする予定であると述べているので、それまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
Adobeはこのゼロデイ脆弱性の修正パッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっているこの攻撃のリスクを軽減させることができるだろう。
- 脆弱性についてユーザに連絡
予期していないPDFドキュメントが添付されたメールには警戒するよう忠告すること。そのドキュメントがどうしても必要であるというのでもなく、また送信者を信頼することができない場合はAdobe Readerの修正パッチを取り入れるまで、そのドキュメントを開かない方がいいだろう。
- 最新版にアップデートしているウィルス対策ソフトウェア(AV)を使用
この悪質なPDFファイルに対応するシグネチャをすでに用意しているAVベンダーもいる。まだ対応していないベンダーも近いうちにそうしたシグネチャを提供するだろう。
- Adobe ReaderのJavaScriptを無効にする
ShadowserverによるとAdobe ReaderのJavaScript を無効にすれば、この問題を悪用してユーザのシステムにマルウェアがインストールされることを防ぐことが可能であるという。Adobe Readerがクラッシュする可能性はあるが、実際に攻撃が成功することはない。Adobe ReaderでJavaScriptを無効にするには Edit(編集) => Preferences(環境設定) => JavaScriptに行き、Enable Acrobat JavaScript(Acrobat JavaScriptを無効にする)を選択すること。しかし、そうすることで問題のないPDFドキュメントでもJavaScriptが実行されないようになる点に注意しよう。
- Fireboxのようなゲートウェイ・デバイスを使用してPDF を遮断する
ユーザがPDFファイルをダウンロードすることができなければ、こうした悪用の影響を受けることはないのだが、残念ながらそうすることで正常なPDFファイルも阻止してしまうことになる。ビジネス環境のニーズによっては3月11までPDFファイルをブロックしておいた方がいい場合もあるだろう。
ウォッチガード・ユーザ:
送信されてきたPDFファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもPDFファイルが必要であるというのでなければ、3月11日まではFireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止することを検討するオプションもある。PDFドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定すること。
手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
Adobeは3月11日にパッチをリリースする予定なので、それまでは先に説明した対策を実施することをすすめる。
【参考資料】
Adobeのセキュリティ情報
Shadowserver Foundationアドバイザリ
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。