hylomによる
2009年12月28日 19時27分の掲載
とりあえずAdobe Readerの設定の確認を、部門より。
とりあえずAdobe Readerの設定の確認を、部門より。
あるAnonymous Coward 曰く、
So-netセキュリティ通信によると、Adobe Readerの未修正の脆弱性を突いた攻撃が確認されたそうだ。
先日、ラジオ関西やJR東日本のWebサイトが改ざんされ、攻撃コードが埋め込まれたPDFをダウンロードさせられるという事件が発生した。改ざんされたサイトには「/*GNU GPL*/」や「/*CODE1*/」といった文字列で始まるコードが埋め込まれ、Adobe Readerの脆弱性を利用してウイルスを実行するように細工されたPDFをダウンロードさせるようになっていた。
これらの事件が発覚した時点では、最新版のAdobe Readerを利用していればPDFを開いたとしてもウイルスの実行を防ぐことができたが、24日に確認された新たなPDFではAdobe Readerの未修正の脆弱性を利用してウイルスを実行するため、最新版のAdobe Readerをインストールしても攻撃を防げないという。
対策としては、Adobe ReaderのJavaScriptを無効にする、もしくはAdobe Readerをアンインストールする、ほかの互換ビューワを使う、といったものが提案されている。
関連ストーリー
JR東日本サイトが改ざんされた模様 42 コメント
IEをターゲットにした0-day攻撃が発生中 42 コメント
Firehose:Adobe Readerの未修正の脆弱性を突いた攻撃が確認される by Anonymous Coward
JAVAScriptは何に使うもの? (スコア:1)
今回に限らず、JAVAScriptの脆弱性が発見されるたびにJAVAScriptを切れと言われますが
もう、デフォルトでオフにしてほしい……
アドビリーダーのJAVAScriptって、使っている人は多いんでしょうか?
あるいはオフに出来ない理由がある?
コメントを書く
Re:JAVAScriptは何に使うもの? (スコア:4, 参考になる)
企業ユーザーだったら逆に脆弱性でヤラれたら大変だから、オフにすると思いますが。まあ、意識の高い所限定で。
後はそう…JavaScriptをオフる以外にIEから自動で起動しないようにする [cert.org]と安全性が増す模様。よってさらに念の入った方法としては
するとなぜかインストーラーが起動する。場合によってはIEを閉じるように促すダイアログが出たり、設定の反映に再起動を求められる。
コメントを書く
親コメント
Re:JAVAScriptは何に使うもの? (スコア:3, 興味深い)
何が何でもONにさせられます。(しかも、何故かIEでしか閲覧できない……)
Opera10.10で閲覧するとプラグインがブラウザを巻き込んで異常終了します。
firefoxだと『ダウンロード禁止』と言われて終了...
規格なんてものは周知・普及させなければ意味のない物なんだから無料でダウンロードさせても問題なかろうに……
notice : I ignore an anonymous contribution.
コメントを書く
親コメント
Re:JAVAScriptは何に使うもの? (スコア:3, 興味深い)
いや、結構便利なんですよ。Excel等で作られた帳票イメージをPDFにして、そこにフォームを載せるだけでCGIと組み合わせてデータ入出力ができますから。
キッチリした帳票出力が必要な場合に、HTMLの入力フォームと帳票イメージを分けて作らなくて済むのが利点です。使う方としてもシンプルで分かりやすいです。
JavaScriptは入力チェックや計算に利用します。
PDFオープン時やマウスイベント等に応じた処理を書くことも可能なので、このあたりが狙われてしまうんでしょうね。
コメントを書く
親コメント
Re:JAVAScriptは何に使うもの? (スコア:2)
> Excel等で作られた帳票イメージを ... JavaScriptは入力チェックや計算に
あー、Excel で計算じゃないのか。
PDF って、Portable Document Format でしたっけ。ODF が Open Document Format だから、PDF で計算できてもおかしくはないのか。
いっそのこと、Printable Document Format に改名して、その機能に徹して欲しい。
コメントを書く
親コメント
ところで(オフトピ) (スコア:1)
Adobe Readerをインストールしたら、一緒にMcAfee SecurityScanもインストールされたんだけど、どういうこと?
既にForeFront ClientSecurity入れてるのに「最新の脅威にはMcAfee入れろ」とか非常に不快なんですが。
コメントを書く
斜め読みでも解かった (スコア:3, 参考になる)
コメントを書く
親コメント
Re:やりたい放題なので具体的な被害は特定できません (スコア:2, 参考になる)
目に見える被害がないと感染したかどうか最終的に判断できないからだと思う。
アンチウイルスソフトで発見できるかは賭けじゃない?
コメントを書く
親コメント
Re:やりたい放題なので具体的な被害は特定できません (スコア:2, すばらしい洞察)
コメントを書く
親コメント
Re:Macは? (スコア:2)
マカーはプレビューを使いなはれ。ということ [apple.com] のようです [tidbits.com]。
コメントを書く
親コメント
Re:反GNU思想の陰謀ニダ (スコア:2, 参考になる)
コメントを書く
親コメント
Re:反GNU思想の陰謀ニダ (スコア:2)
すみません、どうして/*GNU GPL*/と入っているとバレにくくなるのか、わかりません。
よろしければ説明していただけますか?
コメントを書く
親コメント
Re:防げない脆弱性が塞がるのを待つよりも (スコア:3, 参考になる)
とりあえず、ReaderのJavascriptをオフにして、怪しげなPDFファイルを開かないことらしいです。
http://www.jpcert.or.jp/at/2009/at090027.txt [jpcert.or.jp]
IV. 軽減策
本脆弱性に対する軽減策として、以下を推奨いたします。
・以下の通り、Javascript を無効にする
1. Acrobat / Adobe Reader を起動する
2. メニューバーから "編集" -> "環境設定" を選択する
3. 分類の中から "JavaScript" を選択する
4. "Acrobat JavaScriptを使用" のチェックを解除する
5. "OK"を押して、設定を反映する
※Adobe Acrobat と Adobe Reader の両方でこの設定を変更する必要があ
ります
・不審な PDF ファイルを開かない
・ウイルス対策ソフトの定義ファイルを最新の状態に更新する
・メール送信者が詐称されてされている可能性があるので、不審に思った場
合は送信者に確認する
・Windows をお使いの場合、DEP(データ実行防止機能)を有効にする
※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が
あります。
コメントを書く
親コメント
Re:防げない脆弱性が塞がるのを待つよりも (スコア:2, フレームのもと)
IE から Acrobat が呼ばれる場合、IE7は DEP が OFF でコンパイルされているからダメ (誘導され、IE から攻略 PDF にクリックした途端に Acrobat が起動してアウト) 、IE8 も IE のプラグインがひとつでも DEF オフなら無駄というユーザーの意見もあります。 [sans.org]
JPCERT のアドバイスと、どっちが正しいのでしょうね。
コメントを書く
親コメント
Re:防げない脆弱性が塞がるのを待つよりも (スコア:3, おもしろおかしい)
> とりあえずしばらくは PDF は避けるべきだということでしょう。
よく脆弱性が発見されるたびに、PDFを開くのは避けましょうとか、
JavaScriptはオフにしましょうとか、IEを使うのは避けましょうとか、
Firefoxを使うのは避けましょうとか、Operaを使うのは避けましょうとか、
あげくには、
IEではなくFirefoxを使いましょうとか、FirefoxではなくIEを使いましょうとか、
とか、とか、
いつ使える状態で、いつ使えない状態なのか、よくわかりませんね。
コメントを書く
親コメント
Re:【オフとぴ】防げない脆弱性が塞がるのを待つよりも (スコア:3, おもしろおかしい)
ごめんなさい名前がhatarake(365(日))に見えました。
働いてきます.....orz
#30までお仕事。
---にょろ~ん
コメントを書く
親コメント
Re:防げない脆弱性が塞がるのを待つよりも (スコア:2, 参考になる)
コメントを書く
親コメント
Re:PDFだけ? (スコア:1, 参考になる)
整理しましょう。
/*GNU GPL*/ で改ざんされるのはHTMLです。
そこに埋め込まれたJavascriptで、遠い国のサイトから攻撃用のスクリプトを送り込まれます。
攻撃用のスクリプト中でダウンロードされるPDFファイルがAdobe Readerの脆弱性をつきます。
他にもActiveXやらJavaアプレットやらがダウンロードされます。
解析されることを防ぐためか、その難読化されたURLは一度しか繋がりませんので保存するなら今のうちに。
コメントを書く
親コメント
Re:反GNU思想の陰謀ニダ (スコア:1)
マジレスすると、
サイト作者はあくまでも受動的な被害者であって、
ライセンスにAgreeしてないから公開の義務は生じない(契約関係にない)。
逆に改ざんした人(Cracker)はソースコード公開する必要もあるし、
そのための連絡先も明示しなきゃならないけど。
コメントを書く
親コメント