Hitach Incident Response Team

 10月18日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

Adobe Reader,Acrobatのセキュリティ・アップデート(2009/10/13)

 米アドビ システムズから,Adobe Reader,Acrobatのセキュリティ・アップデートが公開されました。計29件のセキュリティ問題を解決しています。

 10月8日,トレンドマイクロによって,ぜい弱性(CVE-2009-3459)を悪用するTROJ_PIDIEF.UOが発見されました。また,Adobe Product Security Incident Response Team(PSIRT)が2009年10月13日にアドバイザリを発行することをアナウンスしました。

 10月13日,米アドビ システムズから『APSB09-15: Adobe Reader とAcrobatセキュリティ・アップデート』が公開され,Adobe Reader 9.2 / Acrobat 9.2,Adobe Reader 8.1.7 / Acrobat 8.1.7,Adobe Reader 7.1.4 / Acrobat 7.1.4がリリースされました。既にぜい弱性(CVE-2009-3459)を悪用した侵害活動が報告されていますので,Adobe Reader,Acrobatをアップデートしてください。

 さらにAdobe Reader 9.2 / Acrobat 9.2,Adobe Reader 8.1.7 / Acrobat 8.1.7では,警告バーによるJavaScript有効化とブラックリスト化の二つを新たな機能としてサポートしました。JavaScript有効化は,JavaScript機能が無効になっている場合に,JavaScriptを有効にする機能で,一時的か,継続的かを選択できます(写真1)。

タイトル
写真1●JavaScript機能が無効になっている場合の有効化の例

 JavaScriptのブラックリスト化は,特定のJavaScript API実行を抑止するための機能です。Windowsの場合には,米アドビ システムズがセキュリティ・アップデートなどの対応で使用するブラックリストと,それ以外となるWindowsシステムとして使用するブラックリストの2種類があります。いずれもレジストリにオブジェクト名やAPI名を登録する形態となっています。

 後者のWindowsシステムとして使用するブラックリストの登録レジストリは,
HKLM\SOFTWARE\Policies\Adobe\\\FeatureLockDown\cJavaScriptPerms\tBlackList
で,写真2はCollab.getIconをブラックリストとして登録した例です。複数登録する場合には,パイプ(|)で名称を追加していきます。

写真2●Windowsシステムが使用するブラックリストの登録レジストリ
[画像のクリックで拡大表示]

 写真3はJavaScriptが有効になっているAdobe Reader 9.2を使って,Collab.getIconのスタック・オーバーフローのぜい弱性(2009年3月に報告されたぜい弱性でCVE-2009-0927が割当てられている)を悪用するPDFを実行した例です。Collab.getIconがブラックリストとして登録されているため,警告バーでJavaScriptが無効になったことを示しています。

タイトル
写真3●ブラックリストとして登録されているJavaScript APIの実行例

 最後になりますが,Adobe Reader 7.x / Acrobat 7.xは,2009年12月28日にサポートが終了しますので,8.xあるいは,9.xへの移行を検討してください。

[参考情報]

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら