Adobe Acrobat/Reader の Javascript API の実装に起因する情報漏えいの脆弱性(Scan Tech Report)
Adobe Acrobat/Reader には、Javascript API のセキュリティ制限の実装に起因して、情報漏えいが発生する脆弱性が存在します。
脆弱性と脅威
エクスプロイト
Adobe Acrobat/Reader には、Javascript API のセキュリティ制限の実装に起因して、情報漏えいが発生する脆弱性が存在します。
ユーザが悪質な PDF ファイルを閲覧した場合に、リモートの第三者によってシステム上の重要な情報を不正に取得される可能性があります。
脆弱性を悪用された場合の影響度が高いため、影響を受けるバージョンの Adobe Acrobat/Reader を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
4.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-0521&vector=%28AV:N/AC:M/Au:N/C:P/I:N/A:N%29
3.影響を受けるソフトウェア
Adobe Reader X (10.1.9) 以前
Adobe Reader XI (11.0.06) 以前
Adobe Acrobat X (10.1.9) 以前
Adobe Acrobat XI (11.0.06) 以前
4.解説
Adobe Acrobat/Reader では、複数の JavaScript 拡張機能 (API) をサポートしています。これら JavaScript API は、セキュリティの関係上、特権の有無によって、実行可能なメソッドが制御されていますが、信頼済み関数 (trustedFunction)※1 を利用することで、その制限が解除され、セキュリティ上制限のあるメソッドが実行可能となります。
Adobe Acrobat/Reader には、JavaScript インタプリタにおいて、setter メソッドから app.trustedFunction メソッドを呼び出す際のセキュリティ制限の実装に不備があります。
このため、Acrobat/Reader の Javascript API として公式にサポートされていない DynamicAnnotStore メソッド※2 を利用して setter メソッドを呼び出すことで、本来実行することができない readFileIntoStream※3 などの特権付きのメソッドを呼び出すことが可能な脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、Adobe Acrobat/Readerを実行するユーザの権限でシステム上の任意のファイル情報を窃取することが可能となります。
※1 http://help.adobe.com/livedocs/acrobat_sdk/9.1/Acrobat9_1_HTMLHelp/wwhelp/wwhimpl/js/html/wwhelp.htm?href=JS_API_AcroJS.88.167.html
※2 http://help.adobe.com/livedocs/acrobat_sdk/10/Acrobat10_HTMLHelp/wwhelp/wwhimpl/common/html/wwhelp.htm?context=Acrobat10_SDK_HTMLHelp&file=JS_API_AcroJS.88.1248.html
※3 http://www.dsto.defence.gov.au/sites/default/files/publications/documents/DSTO-TR-2730.pdf
5.対策
以下の Web サイトを参考に、下記のバージョンの Adobe Acrobat/Reader にアップデートすることで、この脆弱性を解消することが可能です。
あるいは、Adobe Acrobat/Reader の JavaScript 機能を無効にすることで、この脆弱性による影響を回避することが可能です。
- Adobe Reader X (10.1.10) 以降
- Adobe Reader XI (11.0.07) 以降
- Adobe Acrobat X (10.1.10) 以降
- Adobe Acrobat XI (11.0.07) 以降
APSB14-15
https://helpx.adobe.com/jp/security/products/reader/apsb14-15.html
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
範を示す ~ MITRE がサイバー攻撃被害公表
「MITRE はこのインシデントを開示しました。これは当団体が公共の利益のために活動し、企業のセキュリティ強化のためのベストプラクティスを提唱し、業界の現在のサイバー防御体制強化に必要な措置を講ずると約束しているからです」
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
保険契約の申し込みや更新を処理するコストの低下を追求するあまり、保険会社は不正確な査定を行い、さらにはプライバシーを侵害するという最悪の方向に向かっているようだ。
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。