Adobe Readerの未修正の脆弱性を突いた攻撃が確認される 67
ストーリー by hylom
とりあえずAdobe Readerの設定の確認を、 部門より
とりあえずAdobe Readerの設定の確認を、 部門より
あるAnonymous Coward 曰く、
So-netセキュリティ通信によると、Adobe Readerの未修正の脆弱性を突いた攻撃が確認されたそうだ。
先日、ラジオ関西やJR東日本のWebサイトが改ざんされ、攻撃コードが埋め込まれたPDFをダウンロードさせられるという事件が発生した。改ざんされたサイトには「/*GNU GPL*/」や「/*CODE1*/」といった文字列で始まるコードが埋め込まれ、Adobe Readerの脆弱性を利用してウイルスを実行するように細工されたPDFをダウンロードさせるようになっていた。
これらの事件が発覚した時点では、最新版のAdobe Readerを利用していればPDFを開いたとしてもウイルスの実行を防ぐことができたが、24日に確認された新たなPDFではAdobe Readerの未修正の脆弱性を利用してウイルスを実行するため、最新版のAdobe Readerをインストールしても攻撃を防げないという。
対策としては、Adobe ReaderのJavaScriptを無効にする、もしくはAdobe Readerをアンインストールする、ほかの互換ビューワを使う、といったものが提案されている。
JAVAScriptは何に使うもの? (スコア:1)
今回に限らず、JAVAScriptの脆弱性が発見されるたびにJAVAScriptを切れと言われますが
もう、デフォルトでオフにしてほしい……
アドビリーダーのJAVAScriptって、使っている人は多いんでしょうか?
あるいはオフに出来ない理由がある?
Re:JAVAScriptは何に使うもの? (スコア:4, 参考になる)
企業ユーザーだったら逆に脆弱性でヤラれたら大変だから、オフにすると思いますが。まあ、意識の高い所限定で。
後はそう…JavaScriptをオフる以外にIEから自動で起動しないようにする [cert.org]と安全性が増す模様。よってさらに念の入った方法としては
するとなぜかインストーラーが起動する。場合によってはIEを閉じるように促すダイアログが出たり、設定の反映に再起動を求められる。
うぉぉぉ…… (スコア:1)
アドビはそんなことを言ってるのか……
かと言って、現状はPDFを使わない訳にもいかないので、今まで通り、新規クライアントを構築するたびにアドビリーダーのJAVAScriptをオフにする仕事が始まる……
その対策は知らなかったので参考になります
Re: (スコア:0)
>現状はPDFを使わない訳にもいかないので
ってのが痛いですよね。Adobeにはもう少しデファクトスタンダードとしてのあるべき姿ってのを自覚して頂きたい。
Adobeが改心するのが先か、XPS(等の競合規格)の普及が先か。
正直、Adobeにはあまり期待していないんですが、XPSの普及ってのもまだまだ課題が多い。
# 他でいわれているような代替PDFビューア類はセキュリティを向上させるためのものではないし。
>新規クライアントを構築するたび
というか、設定ってユーザごとに必要ですよね。
新しいアカウントを作るたびに設定しないといけない。
Re: (スコア:0)
>場合によってはIEを閉じるように促すダイアログが出たり
そりゃPDF表示のプラグインを無効化するためでしょ
Re: (スコア:0)
Re:JAVAScriptは何に使うもの? (スコア:3, 興味深い)
何が何でもONにさせられます。(しかも、何故かIEでしか閲覧できない……)
Opera10.10で閲覧するとプラグインがブラウザを巻き込んで異常終了します。
firefoxだと『ダウンロード禁止』と言われて終了...
規格なんてものは周知・普及させなければ意味のない物なんだから無料でダウンロードさせても問題なかろうに……
notice : I ignore an anonymous contribution.
Re:JAVAScriptは何に使うもの? (スコア:1, 参考になる)
Firefoxだけど普通に表示できたよ。
Adobe Reader 9.2では有効にしろというダイアログが情報バー類似のUIに変わった。しかもそこから有効にしてもその文書でだけ有効になるから、たいして危険ではない。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/10.html#20091014_tuiki [ryukoku.ac.jp]
デフォルトでJavaScriptを無効にしておけばFirefoxのNoscriptのような運用が可能。
Re:JAVAScriptは何に使うもの? (スコア:1)
firefoxのオプション->プログラムの設定を
「Adobe Reader 9.2 を使用(標準設定)」から「Adobe Acrobatを使用(Firefox内で表示)」に変更したら表示できました。
こんな箇所を変更した記憶は無いのですが……
notice : I ignore an anonymous contribution.
Re:JAVAScriptは何に使うもの? (スコア:3, 興味深い)
いや、結構便利なんですよ。Excel等で作られた帳票イメージをPDFにして、そこにフォームを載せるだけでCGIと組み合わせてデータ入出力ができますから。
キッチリした帳票出力が必要な場合に、HTMLの入力フォームと帳票イメージを分けて作らなくて済むのが利点です。使う方としてもシンプルで分かりやすいです。
JavaScriptは入力チェックや計算に利用します。
PDFオープン時やマウスイベント等に応じた処理を書くことも可能なので、このあたりが狙われてしまうんでしょうね。
Re:JAVAScriptは何に使うもの? (スコア:2)
> Excel等で作られた帳票イメージを ... JavaScriptは入力チェックや計算に
あー、Excel で計算じゃないのか。
PDF って、Portable Document Format でしたっけ。ODF が Open Document Format だから、PDF で計算できてもおかしくはないのか。
いっそのこと、Printable Document Format に改名して、その機能に徹して欲しい。
Re:JAVAScriptは何に使うもの? (スコア:1)
CGIと組み合わせてWeb入力フォーム(兼、帳票イメージ)として使う他に、オフラインでも動作しますし。
例えば、PDF入力フォームをメール添付で送るとします。
フォームに入力してもらった内容を、ボタン押下でXMLの添付ファイルにしてメール返送させるとか、コードを書くことなく実装できます。
XMLファイルは元のPDFフォームと関連付いているので、ファイルを開くだけで元のPDFフォームにデータ入力されます。つまりデータ入力のコードも書く必要がありません。
Re: (スコア:0)
http://srad.jp/comments.pl?sid=280648&cid=814401
電子申請モノで見かけたことがあるくらいでしょうか。
個人的には無くても全く困りません。
Re: (スコア:0)
動くはずのものが動かない→不具合だ! ってクレームに対応するのが面倒だとかですかね。
いちいちオフにしなきゃって人は、オフにできるのを知っているが、理由もなくオンまま使っているような人は、オン・オフがあるのも知らないし、へんなとこ触るのもヤダとか。
ところで(オフトピ) (スコア:1)
Adobe Readerをインストールしたら、一緒にMcAfee SecurityScanもインストールされたんだけど、どういうこと?
既にForeFront ClientSecurity入れてるのに「最新の脅威にはMcAfee入れろ」とか非常に不快なんですが。
反GNU思想の陰謀ニダ (スコア:0)
GPLの名を騙ることによるイメージ低下を狙っているのか、逆に狂信的なスクリプトキディが宣伝のために含んだのか。
あ、でも、GPLだから、各セキュリティソフトメーカーはウィルス作者に連絡してソースを公開してもらえばいいんですね。
Re:反GNU思想の陰謀ニダ (スコア:2, 参考になる)
Re:反GNU思想の陰謀ニダ (スコア:2)
すみません、どうして/*GNU GPL*/と入っているとバレにくくなるのか、わかりません。
よろしければ説明していただけますか?
Re:反GNU思想の陰謀ニダ (スコア:1)
ソース眺めた時一見オープンソースを利用しているように見えて
解析を遅らせる目的かと。
(Windowsのウイルスがwinsys.exeとかいうファイル名なのと一緒)
それにしても元コメントは煽りくさいなあ
Re:反GNU思想の陰謀ニダ (スコア:1)
マジレスすると、
サイト作者はあくまでも受動的な被害者であって、
ライセンスにAgreeしてないから公開の義務は生じない(契約関係にない)。
逆に改ざんした人(Cracker)はソースコード公開する必要もあるし、
そのための連絡先も明示しなきゃならないけど。
斜め読みでは解らなかった (スコア:0)
で、どんな悪さをするウイルスなの?(クライアント的に)
斜め読みでも解かった (スコア:3, 参考になる)
Re: (スコア:0)
いや、「おもしろおかしい」狙いならその回答でも良いのだが、最終的にどんな被害をこうむるの?(クライアント的に)
やりたい放題なので具体的な被害は特定できません (スコア:1, 参考になる)
今のところ
悪さをするためのプログラムをダウンロードするプログラムを仕掛ける
FTPのパスワードを盗む
偽セキュリティソフトをインストールする
そうです。
ところでなんでクライアントの被害にこだわるの?
ボットネットに組み込まれたパソコンは社会の迷惑なんだから
クライアント的にどうこう考える必要はないじゃない。
あと攻撃に使う脆弱性にWinampも利用されてるらしいので
Winampをインストールしてる方は、最新バージョンか確認しましょう。
Re:やりたい放題なので具体的な被害は特定できません (スコア:2, 参考になる)
目に見える被害がないと感染したかどうか最終的に判断できないからだと思う。
アンチウイルスソフトで発見できるかは賭けじゃない?
Re:それなら素直に感染の判定方法を聞けばいいのでは? (スコア:1)
そうでもない。
お前のPCにウイルスが見つかったから駆除するために入金しろ! という偽セキュリティソフトとか。
お前の大切なファイルを暗号化したからパスワード教えて欲しければ金払え! という脅迫ソフトとか。
マルウェアも多様です。
# ところで感染の判定は、どんな方法が効果的でしょうかね。
Re: (スコア:0)
>ところでなんでクライアントの被害にこだわるの?
オレ、サーバ管理してないから。
Re: (スコア:0)
自分に被害がないなら、感染してても構わないという考えか。
#真面目に書いて損した気分。
Re: (スコア:0)
なぜ拘るかという質問に答えただけに見えるけど。
感染しててもかまわないという考えがあるようには読み取れない。
Re: (スコア:0)
Re:やりたい放題なので具体的な被害は特定できません (スコア:2, すばらしい洞察)
Re: (スコア:0)
>自らを自動で最新版にする機能を持たないソフトウェア(ファームウェア含む)は、(中略)特にそういう機能を持たないOSは、
現実はそういうのの方が安全(被害が少ない)という罠。
Re: (スコア:0)
Macは? (スコア:0)
Re:Macは? (スコア:2)
マカーはプレビューを使いなはれ。ということ [apple.com] のようです [tidbits.com]。
防げない脆弱性が塞がるのを待つよりも (スコア:0)
Re:防げない脆弱性が塞がるのを待つよりも (スコア:3, 参考になる)
とりあえず、ReaderのJavascriptをオフにして、怪しげなPDFファイルを開かないことらしいです。
http://www.jpcert.or.jp/at/2009/at090027.txt [jpcert.or.jp]
IV. 軽減策
本脆弱性に対する軽減策として、以下を推奨いたします。
・以下の通り、Javascript を無効にする
1. Acrobat / Adobe Reader を起動する
2. メニューバーから "編集" -> "環境設定" を選択する
3. 分類の中から "JavaScript" を選択する
4. "Acrobat JavaScriptを使用" のチェックを解除する
5. "OK"を押して、設定を反映する
※Adobe Acrobat と Adobe Reader の両方でこの設定を変更する必要があ
ります
・不審な PDF ファイルを開かない
・ウイルス対策ソフトの定義ファイルを最新の状態に更新する
・メール送信者が詐称されてされている可能性があるので、不審に思った場
合は送信者に確認する
・Windows をお使いの場合、DEP(データ実行防止機能)を有効にする
※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が
あります。
Re:防げない脆弱性が塞がるのを待つよりも (スコア:2, フレームのもと)
IE から Acrobat が呼ばれる場合、IE7は DEP が OFF でコンパイルされているからダメ (誘導され、IE から攻略 PDF にクリックした途端に Acrobat が起動してアウト) 、IE8 も IE のプラグインがひとつでも DEF オフなら無駄というユーザーの意見もあります。 [sans.org]
JPCERT のアドバイスと、どっちが正しいのでしょうね。
Re: (スコア:0)
http://www.adobe.com/support/security/advisories/apsa09-07.html [adobe.com]
Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations:
* All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7
* Acrobat 9.2 running on Windows Vista SP1 or Windows 7
* Acrobat and Adobe Reader 9.2 running on Windows XP SP3
* Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7
With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.
http://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer... [blogspot.com]
Enabling DEP will stop the in the wild samples we've seen, but is not fool proof
Adobeは効果あると言っていますが、DEPの効果は、ちょと微妙みたいですね。
軽減
体験談 (スコア:0)
VistaSP2 + IE8 + Acrobat 9.2(JS有) で感染サイトを開いてしまったのですが、そのタブだけがエラーで再起動して感染は有りませんでした。
DEPは有効にした方がいいですよ。本当に。
Re: (スコア:0)
> ・不審な PDF ファイルを開かない
iframeとかで自動的に読み込まれるのに(/*GNU GPL*/系の手口はまさにそれだし)そりゃ無茶だろ
Re: (スコア:0)
>・不審な PDF ファイルを開かない
開く前の時点でファイル名/URL以外に判断材料ってあるの?
例えばBBSで議論中に関係ありそうなファイル名で誘導されたら釣られる人絶対出ると思うんだけど。
Re:防げない脆弱性が塞がるのを待つよりも (スコア:1)
とりあえずしばらくは PDF は避けるべきだということでしょう。
どうしても開かないといけないのなら互換ビューワで。
Re:防げない脆弱性が塞がるのを待つよりも (スコア:3, おもしろおかしい)
> とりあえずしばらくは PDF は避けるべきだということでしょう。
よく脆弱性が発見されるたびに、PDFを開くのは避けましょうとか、
JavaScriptはオフにしましょうとか、IEを使うのは避けましょうとか、
Firefoxを使うのは避けましょうとか、Operaを使うのは避けましょうとか、
あげくには、
IEではなくFirefoxを使いましょうとか、FirefoxではなくIEを使いましょうとか、
とか、とか、
いつ使える状態で、いつ使えない状態なのか、よくわかりませんね。
Re:【オフとぴ】防げない脆弱性が塞がるのを待つよりも (スコア:3, おもしろおかしい)
ごめんなさい名前がhatarake(365(日))に見えました。
働いてきます.....orz
#30までお仕事。
---にょろ~ん
Re:防げない脆弱性が塞がるのを待つよりも (スコア:1, おもしろおかしい)
>Firefoxを使うのは避けましょうとか、Operaを使うのは避けましょうとか、
>あげくには、
>IEではなくFirefoxを使いましょうとか、FirefoxではなくIEを使いましょうとか、
w3mを使うのは避けましょう、と言われたことは無いのでw3m一択です!
Re: (スコア:0)
プラグインとして動くことが多い Adobe Reader の脆弱性が問題なので、ブラウザの設定では防げません。
手順的にシンプルな対策として FoxIt Reader にするというのを思いつきました。
Re:防げない脆弱性が塞がるのを待つよりも (スコア:2, 参考になる)
Re: (スコア:0)
ブラウザ内にPDFを開く必要がないのであれば、SumatraPDFあたりの方がいいかもしれません
Foxit readerもAdobe Readerほどではないですけどセキュリティの問題を抱えることがあるので。
Re:PDFだけ? (スコア:1, 参考になる)
整理しましょう。
/*GNU GPL*/ で改ざんされるのはHTMLです。
そこに埋め込まれたJavascriptで、遠い国のサイトから攻撃用のスクリプトを送り込まれます。
攻撃用のスクリプト中でダウンロードされるPDFファイルがAdobe Readerの脆弱性をつきます。
他にもActiveXやらJavaアプレットやらがダウンロードされます。
解析されることを防ぐためか、その難読化されたURLは一度しか繋がりませんので保存するなら今のうちに。