悪性のPDFがAdobe ReaderやAcrobatのセキュリティ・ホールを悪用 2008年11月4日
悪性のPDFがAdobe ReaderやAcrobatのセキュリティ・ホールを悪用
危険度:中
2008年11月4日
【概要】
対象:
Windows、Mac、*nixで使用しているAdobe ReaderやAcrobat 8.1.2とそれ以前のバージョン
攻撃方法:
細工したPDFドキュメントをユーザが閲覧するように仕向けるなど攻撃方法は多数ある
影響:
様々な影響があるが、最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、それを完全に操作できるようになる
対策:
Acrobat Reader 9(または8.1.3)、Acrobat 8.1.3にアップグレードすること
【詳細】
米国時間の11月4日、Adobeはセキュリティ情報をリリースし、ReaderやAcrobat 8.1.2(それまでの全バージョンも対象となる)を実行できるすべてのプラットフォームに見られる重要なセキュリティ問題について警告した。しかし、そうした脆弱性に関する詳細説明はなく、入力検証の問題を複数と、権限の昇格問題、サービス拒否(DoS)問題のみを説明している。Adobeは攻撃者が様々な入力検証の欠陥を悪用し、リモートからユーザのコンピュータでコードを実行できると警告しているが、攻撃者が欠陥を悪用する方法の詳細については説明していない。
セキュリティ・リサーチ会社のSecuniaは、こうした重大なセキュリティ問題のうち少なくとも1つを発見し、その詳細について説明している。SecuniaのアラートによるとReaderとAcrobatは、PDFドキュメント内にある特定のタイプのコンテンツを解析する場合に境界エラーの影響を受けているという。ユーザがPDFドキュメントをダウンロードしそれを閲覧するように仕向けると、攻撃者は脆弱性を悪用しユーザ権限を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の権限がある場合、攻撃者はこの欠陥を悪用しユーザのコンピュータを完全に操作できるようになる。
攻撃者はSecunia が解説した欠陥と同様の方法、つまり悪性のPDFドキュメントをユーザにダウンロードさせ、それを閲覧させる方法で、多々ある入力検証の欠陥を誘発すると見られる。脆弱性の中にはAdobe ReaderのDownload Managerに関与するものもあるが、攻撃者がDownload Managerの欠陥をどのように誘発するかは不明である。
【対策】
Adobe Reader 9 とAcrobat 8.1.3 は、この問題を修正している。状況に適したアップデートを早急にダウンロードし、テストしてから適用することをすすめる。
ウォッチガード・ユーザ:
受信するPDFファイルをブロックできるウォッチガードFirebox機能はあるが、管理者はビジネス上、PDFファイル・タイプを許可する必要があるため、Adobe Reader 9またはAcrobat 8.1.3にアップデートすることをすすめる。PDFドキュメントをブロックしたい場合は、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定する。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
【ステータス】
Adobe はこうした問題を修正するReader 9 (8.1.3)、Acrobat 8.1.3をリリースしている。
【参考資料】
Adobeのセキュリティ情報
Secunia Adobe Reader/Acrobat アドバイザリー
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され、書かれた記事です。
危険度:中
2008年11月4日
【概要】
対象:
Windows、Mac、*nixで使用しているAdobe ReaderやAcrobat 8.1.2とそれ以前のバージョン
攻撃方法:
細工したPDFドキュメントをユーザが閲覧するように仕向けるなど攻撃方法は多数ある
影響:
様々な影響があるが、最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、それを完全に操作できるようになる
対策:
Acrobat Reader 9(または8.1.3)、Acrobat 8.1.3にアップグレードすること
【詳細】
米国時間の11月4日、Adobeはセキュリティ情報をリリースし、ReaderやAcrobat 8.1.2(それまでの全バージョンも対象となる)を実行できるすべてのプラットフォームに見られる重要なセキュリティ問題について警告した。しかし、そうした脆弱性に関する詳細説明はなく、入力検証の問題を複数と、権限の昇格問題、サービス拒否(DoS)問題のみを説明している。Adobeは攻撃者が様々な入力検証の欠陥を悪用し、リモートからユーザのコンピュータでコードを実行できると警告しているが、攻撃者が欠陥を悪用する方法の詳細については説明していない。
セキュリティ・リサーチ会社のSecuniaは、こうした重大なセキュリティ問題のうち少なくとも1つを発見し、その詳細について説明している。SecuniaのアラートによるとReaderとAcrobatは、PDFドキュメント内にある特定のタイプのコンテンツを解析する場合に境界エラーの影響を受けているという。ユーザがPDFドキュメントをダウンロードしそれを閲覧するように仕向けると、攻撃者は脆弱性を悪用しユーザ権限を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の権限がある場合、攻撃者はこの欠陥を悪用しユーザのコンピュータを完全に操作できるようになる。
攻撃者はSecunia が解説した欠陥と同様の方法、つまり悪性のPDFドキュメントをユーザにダウンロードさせ、それを閲覧させる方法で、多々ある入力検証の欠陥を誘発すると見られる。脆弱性の中にはAdobe ReaderのDownload Managerに関与するものもあるが、攻撃者がDownload Managerの欠陥をどのように誘発するかは不明である。
【対策】
Adobe Reader 9 とAcrobat 8.1.3 は、この問題を修正している。状況に適したアップデートを早急にダウンロードし、テストしてから適用することをすすめる。
- Adobe Reader 9 (Adobe Reader 9にアップグレードすることができない場合は、Reader 8.1.3 でも問題を修正することができる)
ウォッチガード・ユーザ:
受信するPDFファイルをブロックできるウォッチガードFirebox機能はあるが、管理者はビジネス上、PDFファイル・タイプを許可する必要があるため、Adobe Reader 9またはAcrobat 8.1.3にアップデートすることをすすめる。PDFドキュメントをブロックしたい場合は、Fireboxプロキシのコンテンツ・ブロック機能で .pdf 拡張子を設定する。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- FTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分30秒)
Windows Media, 17.4MB/QuickTime, 11.8MB - HTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分52秒)
Windows Media, 32MB/QuickTime, 28.6MB - POP3プロキシでファイルをブロックするには?(ビデオ所要時間2分35秒)
Windows Media, 17.6MB/QuickTime, 16.5MB - SMTPプロキシでファイルをブロックするには?(ビデオ所要時間2分18秒)
Windows Media, 12.2MB/QuickTime, 9.1MB
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
- FTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分30秒)
Windows Media, 25.2MB/QuickTime, 9.1MB - HTTPプロキシでファイルをブロックするには?(ビデオ所要時間2分52秒)
Windows Media, 38.2MB/QuickTime, 10.7MB - POP3プロキシでファイルをブロックするには?(ビデオ所要時間2分35秒)
Windows Media, 23.2MB/QuickTime, 10.1MB - SMTPプロキシでファイルをブロックするには?(ビデオ所要時間2分18秒)
Windows Media, 25.6MB/QuickTime, 9.0MB
【ステータス】
Adobe はこうした問題を修正するReader 9 (8.1.3)、Acrobat 8.1.3をリリースしている。
【参考資料】
Adobeのセキュリティ情報
Secunia Adobe Reader/Acrobat アドバイザリー
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され、書かれた記事です。