脆弱性の発見者:Cisco Talos の Aleksandar Nikolic
概要
Talos は本日、Adobe Acrobat Reader DC で新たに確認された脆弱性の詳細を公開します。Adobe Acrobat Reader は最も一般的で機能が豊富な PDF リーダーです。使用ユーザの数が多く、多くのシステムではデフォルトの PDF リーダーとして設定されており、PDF を表示プラグインとして Web ブラウザに統合されています。そのため、ユーザを悪意のある Web ページに誘導するか、細工された PDF を電子メールの添付ファイルとして送信するだけで本脆弱性が引き起こされます。
細工された PDF ドキュメントを Adobe Acrobat Reader DC 2018.009.20044 で開くと、ドキュメント ID フィールドが無制限のコピー操作に使用され、スタックベースのバッファオーバーフローにつながる可能性があります。この脆弱性は PDF ファイルに埋め込まれた特定の Javascript に起因します。スタックベースのバッファオーバーフローが発生すると、リターン アドレスが上書きされ、結果的に任意のコードが実行される危険性があります。この脆弱性を引き起こすには、ユーザが悪意のあるファイルを開くか、あるいは悪意のある Web ページにアクセスする必要があります。
TALOS-2017-0505:Adobe Acrobat Reader DC ドキュメント ID に起因する、リモートでコードが実行される脆弱性(CVE-2018-4901)
Adobe Acrobat Reader DC では、JavaScript スクリプトを埋め込むことでインタラクティブ PDF フォームを実現しています。これにより攻撃者はメモリ レイアウトを正確に制御できるため、攻撃対象領域が広がります。
トレーラで指定された過大な文書 ID フィールドが含まれる PDF ファイルでは、解析当初は正しく解析されます。ただし JavaScript で参照されている場合は、バイトを16進数の文字列にエンコードする際にスタックベースのバッファーオーバーフローが発生する可能性があります。脆弱性に関する詳細はこちら
をご覧ください。
既知の脆弱性バージョン
Adobe Acrobat Reader DC 2018.009.20044
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール:45102-3
本稿は 2018年2月23日に Talos Group
Authors