Easy management - our secret sauce. Watch the video tour.
HOME > セキュリティ情報 > Adobe ReaderとAcrobatがPDF経由の攻撃を許可 2007年10月22日

Adobe ReaderとAcrobatがPDF経由の攻撃を許可 2007年10月22日

注記: 当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。


セキュリティ・アラート

■Adobe ReaderとAcrobatがPDF経由の攻撃を許可

危険度:中

日付:2007年10月22日


【概要:】

米国時間の10月21日、Adobe社はWindows XP用の「Adobe Readerバージョン8.1」と「Adobe Acrobatバージョン 8.1」(それ以前の全バージョンも含む)に影響を与えている、重要なセキュリティ問題を修正したアップデート版をリリースした。攻撃者は、細工したPDFファイルをユーザーに開かせることに成功すると、中でも悪質な欠陥を悪用し、ユーザーのシステムをコントロールすることができるようになる。Adobe ReaderやAcrobatをネットワークで使用している場合は、できる限り早急にバージョン8.1.1をダウンロードし、テストしてから導入することをすすめる。

【問題の詳細:】

米国時間の10月21日にリリースされたセキュリティ情報で、AdobeはWindows XP用のAdobe Readerバージョン8.1とAcrobatバージョン8.1(及びそれ以前の全バージョン)に、重要なセキュリティ問題がいくつかあることについて警告した。通常、同社はそうした報告において複数の問題を捉えるが、今回は特定の1件についていくらか詳細を説明しているだけである。インターネット・エクスプローラ(バージョン7)を使用しているWindows XPユーザーが細工されたPDFファイルを開くと、攻撃者が未特定の欠陥を悪用し、ユーザーのコンピューターをコントロールできるようになる、とAdobeは説明している。ウェブ・ページにはPDFファイルを埋め込むことができるため、細工されたウェブ・ページに行くだけでこの欠陥を誘発することにもなりえる。

この欠陥は、去年の9月にGNUCITIZEN.orgのペットコ・ディー・ペットコフ氏(Petko D. Petkov、別名:pdp)が最初に発見した。情報公開における責任の教義に従って、ペットコフはこの欠陥に関するいかなる詳細もリリースせず、Adobeが修正プログラムをリリースするのを待った。ところが、同時にAdobeがアップデート版をリリース次第、この欠陥を実証する概念実証コードをリリースするとも約束している。このため、近い内にこの欠陥の悪用を見ることになるだろう。Adobeユーザーは、できる限り早急にアップグレードすることをすすめる。

【対策:】

「Adobe Readerバージョン 8.1.1」と「Acrobatバージョン8.1.1」では、これらセキュリティ問題が修正されている。Windows XPの管理者は、できる限り早急にアップデート版をダウンロードし、テストしてから導入することをすすめる。

■ウォッチガード・ユーザー

ウォッチガードのFirebox製品シリーズの多くは、受信用PDFファイルをブロックすることができる。大方の管理者はビジネス上、そうしたファイル・タイプを許可しておく傾向にある。このため、Adobe Readerバージョン8.1.1をダウンロードし、インストールすることをすすめる。

それでもPDFファイルをブロックしたい場合は、次の手順(英文+図)を参照。

■8.5を使用しているFirebox X Edge

POP3プロキシー
HTTPプロキシー

■WFSを使用しているFirebox IIIおよびX Core

SMTPプロキシー
HTTPプロキシー
オンライン・トレーニング、プロキシー・モジュール

■Fireware Proを使用しているFirebox X CoreおよびX Peak

SMTPプロキシー
HTTPプロキシー

■Vclass

SMTPプロキシー

.PDFファイルを阻止するには、受信側SMTPに基づくカスタム・プロキシー・アクションを作成、または調整する必要がある。受信用SMTPで自身のプロキシー・アクションを作成してある場合は、それを編集することでファイルをブロックすることができる。そうするには、VcontrollerソフトウェアでProxies(プロキシー)ボタンをクリックし、カスタム・プロキシー・アクションをダブルクリックする。Content Checking Tab(コンテンツ確認タブ)でCategory(カテゴリー)をAttachment Filename(添付ファイル名)に変更し、Add to Top(トップに追加)又はInsert After(後で挿入)ボタンをクリックする(どちらか1つのみが表示されるはず)。次に、新しいルール名として「PDF_Files」と入力し、Pattern Match(パターン・マッチ)を選択する。その横に「*.PDF」と入力し、Action(アクション)にはStrip(阻止)を選択する。これで、新しいプロキシー・アクションをSMTPルールに適用し、Fireboxに.PDFファイルをブロックさせることができるようになる。

HTTPプロキシー

.PDFファイルを阻止するには、送信側HTTPに基づくカスタム・プロキシー・アクションを作成、または調整する必要がある。送信用HTTPで自身のプロキシー・アクションを作成してある場合は、それを編集することでファイルをブロックすることができる。そうするには、VcontrollerソフトウェアでProxies(プロキシー)ボタンをクリックし、カスタム・プロキシー・アクションをダブルクリックする。Request GeneralタブでCategory(カテゴリー)をURL Paths(URLパス)に変更し、Add(追加)をクリックする。次に、新しいルール名として「PDF_Files」と入力し、Pattern Match(パターン・マッチ)を選択する。その横に「*.PDF」と入力し、Action(アクション)にはStrip(阻止)を選択する。これで、新しいプロキシー・アクションをHTTPルールに適用し、Fireboxに.PDFファイルをブロックさせることができるようになる。

【ステータス:】

Adobeがリリースした「Adobe Readerバージョン8.1.1」と「Acrobatバージョン8.1.1」では、こうした問題が修正されている。

【参考文献:】

Adobeのセキュリティ情報
GNUCITIZEN.org(英語)


このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。