IE から Acrobat が呼ばれる場合、IE7は DEP が OFF でコンパイルされているからダメ (誘導され、IE から攻略 PDF にクリックした途端に Acrobat が起動してアウト) 、IE8 も IE のプラグインがひとつでも DEF オフなら無駄というユーザーの意見もあります。
[sans.org]
You are partially correct about DEP: With a default XP/Vista/7 install and Acrobat 9.2 DEP will be enabled when the application loads, which can prevent attacks like this. This happens because the OS is set to OptIn mode and the program is compiled with the DEP flag. The far more serious risk comes from Acrobat being invoked as a browser plugin in a drive-by attack. When running as a browser plugin, DEP status is based off if the invoking application (browser) has DEP enabled. In IE7, the DEP flag is not compiled in the binary and you are vulnerable to this. IE8 is a little better, where its binary is compiled with the flag. HOWEVER, if there is a single plugin running in that browser session that does not have the flag, it will be disabled.
Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations:
* All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7
* Acrobat 9.2 running on Windows Vista SP1 or Windows 7
* Acrobat and Adobe Reader 9.2 running on Windows XP SP3
* Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7
With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.
防げない脆弱性が塞がるのを待つよりも (スコア:0)
Re:防げない脆弱性が塞がるのを待つよりも (スコア:3, 参考になる)
とりあえず、ReaderのJavascriptをオフにして、怪しげなPDFファイルを開かないことらしいです。
http://www.jpcert.or.jp/at/2009/at090027.txt [jpcert.or.jp]
IV. 軽減策
本脆弱性に対する軽減策として、以下を推奨いたします。
・以下の通り、Javascript を無効にする
1. Acrobat / Adobe Reader を起動する
2. メニューバーから "編集" -> "環境設定" を選択する
3. 分類の中から "JavaScript" を選択する
4. "Acrobat JavaScriptを使用" のチェックを解除する
5. "OK"を押して、設定を反映する
※Adobe Acrobat と Adobe Reader の両方でこの設定を変更する必要があ
ります
・不審な PDF ファイルを開かない
・ウイルス対策ソフトの定義ファイルを最新の状態に更新する
・メール送信者が詐称されてされている可能性があるので、不審に思った場
合は送信者に確認する
・Windows をお使いの場合、DEP(データ実行防止機能)を有効にする
※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が
あります。
Re:防げない脆弱性が塞がるのを待つよりも (スコア:2, フレームのもと)
IE から Acrobat が呼ばれる場合、IE7は DEP が OFF でコンパイルされているからダメ (誘導され、IE から攻略 PDF にクリックした途端に Acrobat が起動してアウト) 、IE8 も IE のプラグインがひとつでも DEF オフなら無駄というユーザーの意見もあります。 [sans.org]
JPCERT のアドバイスと、どっちが正しいのでしょうね。
Re: (スコア:0)
http://www.adobe.com/support/security/advisories/apsa09-07.html [adobe.com]
Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations:
* All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7
* Acrobat 9.2 running on Windows Vista SP1 or Windows 7
* Acrobat and Adobe Reader 9.2 running on Windows XP SP3
* Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7
With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.
http://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer... [blogspot.com]
Enabling DEP will stop the in the wild samples we've seen, but is not fool proof
Adobeは効果あると言っていますが、DEPの効果は、ちょと微妙みたいですね。
軽減
体験談 (スコア:0)
VistaSP2 + IE8 + Acrobat 9.2(JS有) で感染サイトを開いてしまったのですが、そのタブだけがエラーで再起動して感染は有りませんでした。
DEPは有効にした方がいいですよ。本当に。
Re: (スコア:0)
> ・不審な PDF ファイルを開かない
iframeとかで自動的に読み込まれるのに(/*GNU GPL*/系の手口はまさにそれだし)そりゃ無茶だろ
Re: (スコア:0)
>・不審な PDF ファイルを開かない
開く前の時点でファイル名/URL以外に判断材料ってあるの?
例えばBBSで議論中に関係ありそうなファイル名で誘導されたら釣られる人絶対出ると思うんだけど。
Re:防げない脆弱性が塞がるのを待つよりも (スコア:1)
とりあえずしばらくは PDF は避けるべきだということでしょう。
どうしても開かないといけないのなら互換ビューワで。
Re:防げない脆弱性が塞がるのを待つよりも (スコア:3, おもしろおかしい)
> とりあえずしばらくは PDF は避けるべきだということでしょう。
よく脆弱性が発見されるたびに、PDFを開くのは避けましょうとか、
JavaScriptはオフにしましょうとか、IEを使うのは避けましょうとか、
Firefoxを使うのは避けましょうとか、Operaを使うのは避けましょうとか、
あげくには、
IEではなくFirefoxを使いましょうとか、FirefoxではなくIEを使いましょうとか、
とか、とか、
いつ使える状態で、いつ使えない状態なのか、よくわかりませんね。
Re:【オフとぴ】防げない脆弱性が塞がるのを待つよりも (スコア:3, おもしろおかしい)
ごめんなさい名前がhatarake(365(日))に見えました。
働いてきます.....orz
#30までお仕事。
---にょろ~ん
Re:防げない脆弱性が塞がるのを待つよりも (スコア:1, おもしろおかしい)
>Firefoxを使うのは避けましょうとか、Operaを使うのは避けましょうとか、
>あげくには、
>IEではなくFirefoxを使いましょうとか、FirefoxではなくIEを使いましょうとか、
w3mを使うのは避けましょう、と言われたことは無いのでw3m一択です!