IE から Acrobat が呼ばれる場合、IE7は DEP が OFF でコンパイルされているからダメ (誘導され、IE から攻略 PDF にクリックした途端に Acrobat が起動してアウト) 、IE8 も IE のプラグインがひとつでも DEF オフなら無駄というユーザーの意見もあります。
[sans.org]
You are partially correct about DEP: With a default XP/Vista/7 install and Acrobat 9.2 DEP will be enabled when the application loads, which can prevent attacks like this. This happens because the OS is set to OptIn mode and the program is compiled with the DEP flag. The far more serious risk comes from Acrobat being invoked as a browser plugin in a drive-by attack. When running as a browser plugin, DEP status is based off if the invoking application (browser) has DEP enabled. In IE7, the DEP flag is not compiled in the binary and you are vulnerable to this. IE8 is a little better, where its binary is compiled with the flag. HOWEVER, if there is a single plugin running in that browser session that does not have the flag, it will be disabled.
Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations:
* All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7
* Acrobat 9.2 running on Windows Vista SP1 or Windows 7
* Acrobat and Adobe Reader 9.2 running on Windows XP SP3
* Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7
With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.
防げない脆弱性が塞がるのを待つよりも (スコア:0)
Re: (スコア:3, 参考になる)
とりあえず、ReaderのJavascriptをオフにして、怪しげなPDFファイルを開かないことらしいです。
http://www.jpcert.or.jp/at/2009/at090027.txt [jpcert.or.jp]
IV. 軽減策
本脆弱性に対する軽減策として、以下を推奨いたします。
・以下の通り、Javascript を無効にする
1. Acrobat / Adobe Reader を起動する
2. メニューバーから "編集" -> "環境設定" を選択する
3. 分類の中から "JavaScript" を選択する
4. "Acrobat JavaScriptを使用" のチェックを解除する
5. "OK"を押して、設定を反映する
※Adobe Acrobat と Adobe Reader の両方でこの設定を変更する必要があ
ります
・不審な PDF ファイルを開かない
・ウイルス対策ソフトの定義ファイルを最新の状態に更新する
・メール送信者が詐称されてされている可能性があるので、不審に思
Re:防げない脆弱性が塞がるのを待つよりも (スコア:2, フレームのもと)
IE から Acrobat が呼ばれる場合、IE7は DEP が OFF でコンパイルされているからダメ (誘導され、IE から攻略 PDF にクリックした途端に Acrobat が起動してアウト) 、IE8 も IE のプラグインがひとつでも DEF オフなら無駄というユーザーの意見もあります。 [sans.org]
JPCERT のアドバイスと、どっちが正しいのでしょうね。
Re: (スコア:0)
http://www.adobe.com/support/security/advisories/apsa09-07.html [adobe.com]
Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations:
* All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7
* Acrobat 9.2 running on Windows Vista SP1 or Windows 7
* Acrobat and Adobe Reader 9.2 running on Windows XP SP3
* Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7
With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.
http://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer... [blogspot.com]
Enabling DEP will stop the in the wild samples we've seen, but is not fool proof
Adobeは効果あると言っていますが、DEPの効果は、ちょと微妙みたいですね。
軽減
体験談 (スコア:0)
VistaSP2 + IE8 + Acrobat 9.2(JS有) で感染サイトを開いてしまったのですが、そのタブだけがエラーで再起動して感染は有りませんでした。
DEPは有効にした方がいいですよ。本当に。