パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2016年11月17日のセキュリティ記事一覧(全1件)
12983246 story
セキュリティ

IE11とFirefoxのAdobe PDFで意図しない情報漏洩の可能性 28

ストーリー by hylom
スクリプトの闇 部門より

AdobeによるInternet Explorer 11およびFirefox向けのPDFプラグインに、意図しない情報漏洩に繋がる可能性があることが指摘されている(JVNTA#94087669)。Adobe側はこの挙動について仕様としており、現時点で派修正される見込みは低いようだ。

問題の脆弱性は、PDFにプログラムを埋め込める「FormCalc」という機能に関連するもの。FormCalcにはネットワーク経由でコンテンツの取得や送信を行える「Get」や「Post」、「Put」といった命令が用意されている。これを利用してPDFが配信されているドメインと同じドメイン上のデータを取得し、それを外部サーバーに送信するという処理をPDFを閲覧するマシン上で自動実行させることができるという。

一般的なWebブラウザでは、スクリプトによるHTTPリクエストについて、リクエスト先をそのスクリプトを配信するドメインに限定する、「同一オリジンポリシー(same-origin policy)」が適用されている(Mozillaによるドキュメント)。しかし、FormCalcではこの制限が緩く、取得した情報を別のサイトに送信できてしまうという。

JVNでは対策方法として、ユーザーによるPDFのアップロードを許可する場合、アップロードされたPDFは別のドメインに格納することを挙げている。また、ユーザー側ではIE11やFirefoxのAdobe PDFプラグインを無効にするという対策も記載されている。

なお「Hack Patch!」ブログによると、FormCalcのセキュリティ問題については以前よりさまざまな指摘があり、これを悪用した様々な実証コードが公開されている模様。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...