IE11とFirefoxのAdobe PDFで意図しない情報漏洩の可能性 28
ストーリー by hylom
スクリプトの闇 部門より
スクリプトの闇 部門より
AdobeによるInternet Explorer 11およびFirefox向けのPDFプラグインに、意図しない情報漏洩に繋がる可能性があることが指摘されている(JVNTA#94087669)。Adobe側はこの挙動について仕様としており、現時点で派修正される見込みは低いようだ。
問題の脆弱性は、PDFにプログラムを埋め込める「FormCalc」という機能に関連するもの。FormCalcにはネットワーク経由でコンテンツの取得や送信を行える「Get」や「Post」、「Put」といった命令が用意されている。これを利用してPDFが配信されているドメインと同じドメイン上のデータを取得し、それを外部サーバーに送信するという処理をPDFを閲覧するマシン上で自動実行させることができるという。
一般的なWebブラウザでは、スクリプトによるHTTPリクエストについて、リクエスト先をそのスクリプトを配信するドメインに限定する、「同一オリジンポリシー(same-origin policy)」が適用されている(Mozillaによるドキュメント)。しかし、FormCalcではこの制限が緩く、取得した情報を別のサイトに送信できてしまうという。
JVNでは対策方法として、ユーザーによるPDFのアップロードを許可する場合、アップロードされたPDFは別のドメインに格納することを挙げている。また、ユーザー側ではIE11やFirefoxのAdobe PDFプラグインを無効にするという対策も記載されている。
なお「Hack Patch!」ブログによると、FormCalcのセキュリティ問題については以前よりさまざまな指摘があり、これを悪用した様々な実証コードが公開されている模様。
派修正 (スコア:1)
hyromクオリティ
Re: (スコア:0)
> 仕様としており、現時点で派修正される見込みは低い
まるでhymlaの記事みたいですね
IE11やFirefoxのAdobe PDFプラグインを無効にするという対策 (スコア:1)
Active Directory 環境で対策した内容
・Firefox
user.js に下記の内容を追加してクライアントPCにばらまく
user_pref("plugin.state.nppdf",0);
・IE
グループポリシー
コンピュータの構成・管理用テンプレート・Windowsコンポーネント・Internet Explorer・セキュリティの機能・アドオン管理・アドオンの一覧
値の名前: {CA8A9780-280D-11CF-A24D-444553540000}
値: 0
・Adobe Reader11
グループポリシー
ユーザの構成・基本設定・レジストリ・レジストリ項目
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\Originals\bBrowserIntegration
REG_DWORD で 00000000
こんなふうに設定してみましたが、これで大丈夫かなぁ?
Adobeなんか、使ってない (スコア:0)
PDFを見るのに、Adobeは使っていない。
あと、動画でHTML5の適用を、各社ははよしてほしい。特に、おまえだ。
それができれば、Adobeは完全に消せるのに。
Re: (スコア:0)
えっ、おれ?
Re: (スコア:0)
もしかしたら俺の事かも
Re: (スコア:0)
いや、おれが!
Re: (スコア:0)
「「どうぞどうぞ」」
Re: (スコア:0)
日本工業標準調査会=jiscでJISを見るには、Adobe Acrobat Reader限定だったのでは?
Re: (スコア:0)
べつにadobeのpdf viewerが、という話ではないんだが。
実際、firefoxは独自実装のpdf.jsだし。
Re: (スコア:0)
Adobeが規格制定しAdobe以外誰も実装してない機能なんか「Adobeが」と言って差し支えない
pdf.js は対象じゃないのでは? (スコア:0)
acrobatとかインストールすると有効になるadobeのプラグインの話ですよね。
chromeにも対応していた気がするけど、対象外なのでしょうか。
pdf.jsは件の機能に対応していないのではないでしょうか。
タレコミのリンク先でも「対策として」pdf.jsを使う話になっているんだし。
Re: (スコア:0)
経産省の商業動態統計調査とかは、Adobe Readerを要求するんです。
正しく今回のFormCalcと思しきスクリプトが提供されるPDFに埋め込んでありましてね、調査内容を記入後、送信します。
ぶっちゃけ、この統計調査のためだけにAdobe Readerをインストールしてあります。
IE11とFirefoxだけ? (スコア:0)
IE11とFirefox以外は、この影響を受けないの?
Re: (スコア:0)
受けないよ
Re: (スコア:0)
IEとかFirefoxじゃなくてadobeのプラグインの問題ではないでしょうか。
AcrobatやAdobe Readerをインストールするとブラウザのプラグインとして読み込まれるものがありますよね。
だとすると、chromeの場合もプラグインが有効になる気がするのだけど、大丈夫でしょうか。
バグじゃなくて仕様らしいし。
Re: (スコア:0)
chromeはそもそもadobeのplugin使ってないです
chrome://plugins見ればわかりますけど、chrome pdf viewerですね
adobeはPPAPIのPDFプラグインを用意してないので、Chromeのポリシーから
外れたんですね。なので影響は受けませんね。chromeでNPAPIはもう使えませんので
Re: (スコア:0)
PPAP I
FormCalc (スコア:0)
PDFをクライアントプラットフォームとして使うためのあれ?
各文書の体裁ガチガチなお役所向きだな~と思ったけど、お役所は印刷位置など基本考えないエクセル使って方眼紙なんですよね。。。
なんで表計算ソフトでの印刷に拘るのか理解出来ん。。
Re:FormCalc (スコア:1)
方眼紙による文字位置合わせだけにこだわっているのであって、もし日本語のお役所文書専用のアプリがあるなら、別に表計算ソフトでなくても良いのよ。
てか、なんでお役所文書は、あんなに位置合わせにこだわるのか不思議でならぬ。
「あと1mmちょい左に寄せて」とかなあ…
英字ってのは、じつはわざと縦方向に文字が並ばないように作られているし、記述者も並ばないように(自然に)気を付けている。だから通常、WORDで横書きモードでも日本的感覚にイマイチ合わない。とくにプロポーショナルフォントを使うと、お役所的文書にはまるきり合わない。
*CONSOLE用等幅文字は当時の技術的に仕方なくそうなっていただけね
Re: (スコア:0)
すみません、あなたはコンソールでプロポーショナルフォントを使っているんですか?
lsの表示とかガタガタになる気がしますが。
Re:FormCalc (スコア:1)
Windowsのアプリが主な受け持ち範囲なので、あまりコンソールでのプログラミングはしません。このごろはVisual Studioでもプロポーショナルフォントを使ってみたりはしますが、まわりからは気味悪いと言われます。自覚はあります。
また、コンソールでプロポーショナルフォントを使えるものは浅学で存じません。ターミナル・コンソールなどでプロポーショナルフォントを使っている画像でもあるかと検索してみましたが、等幅フォントか、プロポーショナルを等幅に配置している図くらいしか、なかなか見当たりません。
https://i.stack.imgur.com/lBpow.png [imgur.com] ← うん、これはさすがに読みにくいかな(w
Re: (スコア:0)
[旧記事] プログラミングはプロポーショナルフォントの方が読みやすい ?
https://developers.srad.jp/story/10/01/20/025204/ [developers.srad.jp]
# ターミナルでコーディングなんかしない、ということならすまんです。
Re: (スコア:0)
コメントの大部分が等幅フォント支持派じゃないですか。
Re: (スコア:0)
>「あと1mmちょい左に寄せて」とかなあ…
引用はじめ
ある最高裁裁判官が,かつて,ある弁護士会会報において,事務局,裁判部の文書(弁護士の文書も含む)に誤字,脱字,送り仮名の誤り等のケヤレス・ミスが多いことを嘆かれ,次のように述べておられました。
「ミスの多い文章を読ませる人は,他人に対する思いやりの乏しい人と評されてもやむをえないであろう。」,「私が誤字等を指摘するのに対し,・・(略)「字を知らないわけではないし,大きなことはきちんとしているから,そんな小さなことは大した問題ではない」と言わんばかりである。気の弱い私は,声には出さず,「小さいこともきちんとやれずに,大きいことがちゃんとでき
Re:FormCalc (スコア:1)
[興味深いです +1] [参考になりました +1]
Re: (スコア:0)
どう書き換えればよいのか