PDF の設計を利用し、任意のコードを実行する方法公表される 30
ストーリー by reo
んで、うっかり公開設定にしちゃったりな 部門より
んで、うっかり公開設定にしちゃったりな 部門より
ある Anonymous Coward 曰く、
PDF の設計上の機能を利用し、コードを実行する方法が報告されているそうだ (ITmedia エンタープライズの記事、本家 /. 記事より) 。
これは PDF や閲覧ソフトの脆弱性を突くものではなく、PDF に搭載されている「コードやプログラムを実行できる機能」を悪用したものであり、PDF ファイルを開いただけでコードを実行させることも可能という。Adobe Reader ではコードが実行される際に警告メッセージが表示されるが、このメッセージも改ざんすることが可能とのこと。また、Foxit のように警告メッセージなしにコードが実行される PDF リーダーもあるとのことで注意が必要という。
コンセプト実証 (Proof of Concept) コードはリリースされていないとのこと。また、現時点での対策として PDF ファイルは Google Docs などリモートで開いた方がよいとのことだ。
Foxit Reader 3.2.1.0401 (スコア:3, 参考になる)
Foxit Software - Downloads(Latest Version) [foxitsoftware.com]
窓の杜 - 【NEWS】PDF内のプログラムを無断実行される脆弱性を修正した「Foxit Reader」v3.2.1.0401 [impress.co.jp]
したした詐欺 (スコア:0)
いろいろアップデートしろしろ言われるけど、実体験が伴わないので、放置 というケースが多いと思う。
Re: (スコア:0)
一般的にはともかく、この件の場合exploit PDFを実行したとき確認ダイアログが出るかどうかで自明に確認できると思うんですが。
対策漏れがあるかもしれないとか疑いだしたらきりがありませんけど、場所柄ソースを読む能力つけてオープンソースのPDFビューア使ってソース嫁とか。
Re: (スコア:0)
パッチレベルに応じて肩の縞の数が増えるとか、 スプラッシュ上の星の数が増えていくとか、そういう効果をつけて 「へへ。レベルアップしたぜ! すげーだろ」感を出せすようにしましょう。 これでみんな競ってアップデートするようになるんじゃないかな。「君、まだ星3つなの?」とか
# そしてメジャーアップデートは「経験値(?)がなくなっちゃうからイヤ」と言われるように…
Re: (スコア:0)
>メジャーアップデートは「経験値(?)がなくなっちゃうからイヤ」と言われるように…
古いバージョンはある程度たつと自動的に退役するようにすれば良いんだよ。
Re:したした詐欺 (スコア:1)
実際 PDF の仕様書を隅から隅まで見た訳じゃないので分からないが、
自分を開いた Reader のバージョンを調べ、古いバージョンならば
新しいバージョンの Reader をダウンロードして、
古いバージョンを削除して新しいバージョンをインストールする PDF。
これくらいは出来そうな気がする。
TomOne
Re: (スコア:0)
古いバージョンでは閲覧できないPDFが出まわれば、古すぎるAcrobat Readerを使う人は減ると思う。
Re: (スコア:0)
この機能の有用性はどこにあるの? (スコア:1)
この実行機能は何の役に立つのでしょうか?
私には現実的な意味で有用な使い方が思い当たらないのです。
Re:この機能の有用性はどこにあるの? (スコア:4, 興味深い)
「任意のコードやプログラムが実行できる」は当然必要とされる機能です。
「実的な意味で有用な使い方」と仰いますが、例えばExcelにVBAマクロは不要ですか?
まぁ、要らない人は要らないんでしょうけど、恐らく世間一般においては、
Excelの需要はマクロの需要とニアリーイコールです。
# 誰ですか? 「方眼紙の需要とニアリーイコール」なんて言うのは、
御存知の通り、Excelは昔からセキュリティ修正のいたちごっこが続いていますし、
マクロの安全性は保証出来ない事から、自己判断で実行する様に言われます。
もしかするとあまり認知されていないのかも知れませんが、
PDFフォーマットにも潜在的にはそれと同程度のリスクが在るのです。
たぶん、貴方がPDFに期待する機能が、
PDFの仕様を作る人達の意図と違うんだと思います。
# PDFって、利用者の多くがほとんど無自覚に
# 「シンプルで手堅いフォーマット」を期待しているにもかかわらず、
# それが開発者側にきちんと伝わってないんだと思うんだぜ。
Re:この機能の有用性はどこにあるの? (スコア:1)
ExcelにVBAマクロは不要ですか?
必要だと思います。
また、あなたのコメントによって、PDFの実行機能がある理由は、あるべきという理念でしかないということだというのも分かりました。
Re:この機能の有用性はどこにあるの? (スコア:1)
# エンジニアを自認するなら積極的にこの機能をどう使うか考えたら?
# プリンタのPDFマニュアルから印刷ダイアログ呼び出せたら便利かな?とか
# それが本当に便利かどうかは実装してみないと私には分からないですけど
少し…頭冷やそうか…
Re: (スコア:0, オフトピック)
想像は現実ではないですよね。
Re: (スコア:0)
井の中の蛙という言葉をご存じですか?
Re: (スコア:0)
Re: (スコア:0)
> あるべきという理念でしかないということだというのも分かりました。
それは違います。
貴方もExcelのマクロの必要性は認めたでしょ?
PDFで「Excelのマクロ」相当の事をやりたがる人達が居て、
その人達は実際に「Excelのマクロ」相当にそれを利用してるんです。
それは貴方の需要とは異なっているだけで、
現実の需要であり、理念に留まるものではありません。
ただ、多くの人達は貴方と同様に「コアでディープなPDFユーザ」ではなく、
「そんなのExcelでやればいいじゃん」って言いますけどね。
# これ以上書くと島耕作 [acrobat-academy.jp]に叱られる
# Excelのマクロの必要性を全く感じて無い人がPDFについても同様と言うなら、
# 少なくともその人にとってはそれは正しいと思います。
Re:この機能の有用性はどこにあるの? (スコア:1)
もう、PDF1.4より後のPDFはPDFって呼ばないことにしようぜ
Portableじゃないし
参考 PDF/A [wikipedia.org]
Re: (スコア:0)
PDF 1.7がISO 32000-1になってしまったので、今後はPDFといえばPDF 1.7ですよね。
Re:この機能の有用性はどこにあるの? (スコア:1)
しくしく、確かにその通りだ。
PDF1.4を明示するにはどう呼べばいいんだろう
Accept: application/pdf/a
とか見るからにアウトっぽいし
Re: (スコア:0)
それだと既に完成されて枯れてきていて、どこかの中の人が「仕事がない」状態に…
必然的に社内の会議で「今度の新仕様・新機能は? クールなのを頼むよ?」って声に(以下略
# 正直「ビューワの機能改善だけで十分」だとは思うけど
Re: (スコア:0)
PDFリーダに、単純閲覧モードと高機能モードを実装するだけでいいんじゃないのか?
単純閲覧モードでは、JavaScriptも含めたスクリプト実行機能・ローカルファイル操作などが一切機能しない。
高機能モードはチェックボックスで機能のオンオフができるようにしておく。
で、デフォルトでは単純閲覧モードになっていて、高機能モードに切り替えるときはダイアログが出る。
それで十分じゃないか?
Re:この機能の有用性はどこにあるの? (スコア:1)
さっそくAdobe Readerのマルチメディア機能をoffにしたけど、他の実行はどうしよう?
(JavaScriptは既にoffだった)
the.ACount
Re: (スコア:0)
http://www.itmedia.co.jp/enterprise/articles/1004/08/news014.html
>当面の回避策としては、「環境設定」の「信頼性管理マネージャ」で「PDF添付ファイル」の項目にある
>「文書から他のファイルを開く、またはアプリケーションの起動を許可」のチェックを外す方法を紹介している。
Re:この機能の有用性はどこにあるの? (スコア:1, 興味深い)
この機能が設計された当時は、文書がWeb経由で公開されてプラグインで表示されるなんて利用スタイルは想像もされていなかったというかWWWって何? という時代だったのですよ。実行する可能性のある「プログラム」はローカルにある安全なものばかりであることが確実でした。
Internet Explorer 3.01で修正された「脆弱性」に、ハイパーリンク経由でexeを実行できるというものがありました。HTMLで手軽にランチャーを書けたら便利でしょ? という時代だったのです。
Re:この機能の有用性はどこにあるの? (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
クリックひとつで電卓を開くことができます。
まあなんで便利な機能なんでしょう。(TVショッピング風に)
なにをいまさら (スコア:1, 興味深い)
マニュアルに書いてあるじゃないか
Re:なにをいまさら (スコア:1)
"警告メッセージも改ざんすることが可能とのこと。"というのもマニュアルに書いてあるんですか?
#とりあえずマニュアルって何なんですか? Googleで検索してもどっかの会社の製品の取扱説明書しか出てこないんですが。
Re:なにをいまさら (スコア:1)
>取扱説明書
英訳するとmanual(マニュアル)では?
オートマの反語というのもありそうだけど..最近はセミオートマとかあって...