Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report) | ScanNetSecurity
2024.07.13(土)

Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)

2023 年 1 月に Adobe 社の Acrobat Reader DC をはじめとする PDF 閲覧ソフトウェアに、遠隔コード実行が可能となる脆弱性が公開されています。

脆弱性と脅威
Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)
◆概要
 2023 年 1 月に Adobe 社の Acrobat Reader DC をはじめとする PDF 閲覧ソフトウェアに、遠隔コード実行が可能となる脆弱性が公開されています。攻撃者が作成した悪意のある JavaScript が埋め込まれた PDF ファイルを閲覧してしまった場合、攻撃者に意図しないコードを実行されてしまう可能性があります。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 当該脆弱性は、脆弱性の性質により、脆弱性の悪用から遠隔コード実行を成功させるエクスプロイトコードの構築がソフトウェアのバージョンに依存するものです。また、公開されているエクスプロイトコードには、Adobe 社の製品がデフォルトで有効化しているセキュリティ制御機構を回避する機能は実装されていないため、実際のソフトウェアで悪用される可能性は高くありません。しかし、ソフトウェアのシェアが高いため、高度な技術を持つ攻撃者が、幅広いバージョンに対応していてかつセキュリティ制御機構を回避する機能を持つエクスプロイトコードを開発して悪用する可能性があるため、アップデートによる対策を推奨します。

◆深刻度(CVSS)
[CVSS v3.1]
7.8

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-21608&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H&version=3.1&source=Adobe%20Systems%20Incorporated

◆影響を受けるソフトウェア
 以下のバージョンの Adobe 社の製品が、当該脆弱性の影響を受けると報告されています。

  * Acrobat DC - 15.008.20082 から 22.003.20282 まで
  * Acrobat Reader DC - 15.008.20082 から 22.003.20282 まで
  * Acrobat - 15.008.20082 から 22.003.20282 まで
  * Acrobat Reader - 15.008.20082 から 22.003.20282 まで


◆解説
 Adobe 社の PDF 関連のソフトウェアに、メモリ処理の不備に起因する、遠隔コード実行につながる脆弱性が報告されています。

 脆弱性は Adobe 社の PDF 関連のソフトウェアにおける JavaScript エンジンに実装されている resetForm メソッドでのメモリ管理不備に起因するものです。脆弱なソフトウェアに実装されている resetForm メソッドは、削除されたオブジェクトを正しく処理しないため、解放されたメモリ領域に攻撃者が制御したいオブジェクトのデータを配置して脆弱性を悪用すれば、任意のメモリ領域の読み書きが可能となり、任意のコード実行が可能となります。

◆対策
 ソフトウェアを脆弱性に対策された最新版のバージョンにアップデートしてください。

◆関連情報
[1] Adobe 社公式
  https://helpx.adobe.com/security/products/acrobat/apsb23-01.html
[2] Zero Day Initiative
  https://www.zerodayinitiative.com/advisories/ZDI-23-061/
[3] National Vulnerability Database (NDV)
  https://nvd.nist.gov/vuln/detail/CVE-2023-21608
[4] CVE MITRE
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21608

◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して Calculator.app の実行を試
みるエクスプロイトコードが公開されています。

  GitHub - hacksysteam/CVE-2023-21608
  https://github.com/hacksysteam/CVE-2023-21608/blob/main/exploit.js

//-- で始まる行は筆者コメントです。

《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

    IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

  2. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  3. Java SEに複数の脆弱性、攻撃された場合の影響が大きいため早期の対応を

    Java SEに複数の脆弱性、攻撃された場合の影響が大きいため早期の対応を

  4. Webmin においてソフトウェアアップデート機能での文字列処理の不備に起因する OS コマンドインジェクションの脆弱性(Scan Tech Report)

  5. IT導入支援事業者を騙る悪質企業に注意、正規採択事業者リストも公開

  6. 北海道内でO157による食中毒死亡事故を受け注意喚起(消費者庁)

  7. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  8. 裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

  9. UPSからの配送失敗メールを装うスパムに注意喚起、情報流出の可能性(Dr.WEB)

  10. GROWI に複数の脆弱性

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×