Adobe Readerなどの新しい脆弱性を悪用した不正なPDFファイルが出現

で紹介したJavaScriptのバッファオーバーフローによる脆弱性だが，攻撃コードが容易に作成でき，しかもシステムの権限を奪取される可能性があるため，危険度が非常に高い・・とのこと．

　11月公開のPDFのぜい弱性は攻撃コード作成が容易，速やかに更新を - ITPro

11月に報告されたぜい弱性について簡単に解説しよう。PDFファイルにJavaScriptを埋め込めることはご存知だろう。そのJavaScript関数のutil.printf()のフォーマット・ストリング（%d，%s，%xなど）の処理の不備が問題となっている。具体的には，該当の関数の引数に不正な浮動小数点を含む値が引数として指定されるとバッファ・オーバーフローが発生し，任意のコマンドを実行されてしまう可能性がある。
　　　　　11月公開のPDFのぜい弱性は攻撃コード作成が容易，速やかに更新を - ITProより引用

　この脆弱性は，JavaScript関数のutil.printf()のフォーマット・ストリング（%d，%s，%xなど）の処理の不備が問題であるらしい．それによって，バッファオーバーフローが発生し，任意のコードを実行させられてしまう．

このぜい弱性の影響度が大きいとされる根拠は主に次の3点だ。
(1)ユーザー権限を奪取される
(2)本ぜい弱性を悪用したPDFマルウエアは容易に作成できる
(3)ウイルス対策ソフトでの検出が困難

　PDFファイルに関しては以前から，JavaScriptを埋め込めるなどの自由度が高さが攻撃につながると懸念されていた。ただ今までは，攻撃がJavaScriptで操作可能な範囲に限られていた。ところが今回のぜい弱性を突かれると，ユーザーはOSの権限を奪われてしまう。つまり，リモートからのパソコンの操作が可能になるわけで，従来の攻撃よりも被害レベルは高い。
　　　　　11月公開のPDFのぜい弱性は攻撃コード作成が容易，速やかに更新を - ITProより引用

　この脆弱性の危険度が高い理由としては，システムの権限を奪取される可能性があり，かつJavaScriptが埋め込めるため攻撃の自由度が非常に高いことが挙げられる．そのため，悪意のある者によって，被害を拡大させられる危険性が多いにある．

その他，コードの難読化による検出の困難性などが考えられる．実際に，ネット上で公開されていたPoCやExploitコードに対して，各アンチウイルスソフトの対応が遅れた・・という事実もある．(関連[1]) また，早い段階で複数の亜種も確認されており，アンチウイルスソフトですべてを検出するのは困難であるかもしれない．

今回のぜい弱性は，Adobe ReaderもしくはAcrobatのアップデートを適用すれば対処できる。ただ，今後も同様の脅威が発生することは十分考えられる。そこで，ぜひ対策として実施してほしいのが，アプリケーション・レベルでの動作の監視。例えば，パーソナル・ファイアウォール（インターネットセキュリティ製品に付属しているものなど）を有効にしておく。これで，仮に悪意あるPDFファイルを閲覧してしまっても，外部のサーバーと通信が遮断されれば被害は受けない。ぜひ，アプリケーション・レベルでの監視が有効になっているかどうか確認しておいてほしい。
　　　　　11月公開のPDFのぜい弱性は攻撃コード作成が容易，速やかに更新を - ITProより引用

　今回の問題の対策としては，何よりもまず「Adobe Reader」「Acrobat」のアップデートだろう．この脆弱性は，アップデートすることで修正される．また，記事で紹介されているアウトバウンド通信の監視だけでなく，アプリケーションコントロール機能やプロセス監視機能などHIPS機能を備えたファイアーウォールソフトを用いることで，バッファオーバーフローの段階から防御出来る場合がある．例えば，権限昇格などの行為を阻止できる可能性がある．今後の問題にも備えて，セキュリティソフトの導入は有効だろう．

関連：
[1] Adobe Readerなどの新しい脆弱性を悪用した不正なPDFファイルが出現
[2] Acrobat9のパスワードは簡単にクラック出来てしまう