Adobe Acrobat Reader といった多用されているソフトウェア パッケージでパーサーに脆弱性が存在すると、無数のインターネット ユーザにとって大きなセキュリティ リスクとなります。これらのソフトウェア パッケージはフットプリントが大きいため、攻撃経路が増えることになります。エクスプロイトされる可能性のある攻撃ベクトルを排除するには、発見された脆弱性について責任を持って開示することが不可欠です。
Talos は本日(8/8)、Adobe Acrobat Reader DC で発見された脆弱性を公開します。本脆弱性がエクスプロイトされると、影響を受けるデバイスでは任意のコードが実行される危険性があります。責任を持って本脆弱性を開示するため Adobe 社と協力して問題解決に取り組んだ結果、脆弱性を修復した更新プログラム
が同社から提供されています。同時に、今回の脆弱性に対するエクスプロイトを検出できる Snort ルールも Talos から提供されています。
脆弱性の詳細
この脆弱性は、 Talos の Aleksandar Nikolic によって検出されました。
TALOS-2017-0361 / CVE-2017-11263 は、Adobe Acrobat Reader DC で任意のコードが実行される脆弱性です。AcroForm の解析機能でパーサー混乱が発生することに起因します。脆弱性を突いた PDF ドキュメントにより、パーサーが意図しない状態に陥る可能性があります。その結果、メモリ内の未確認ポインタが悪用され、プロセス内の任意のメモリにアクセスされたり、上書きされたりする可能性があります。最終的には、任意のコードが実行される危険性があります。
本脆弱性がエクスプロイトされるシナリオとしては、(特定の標的ユーザに対して)悪意のある PDF を電子メールで送り付けるソーシャルエンジニアリング攻撃が想定されます。
カバレッジ
Talos では、今回の脆弱性をエクスプロイトしようとする試みを検出するため、以下の Snort ルールを開発しました。ただしこのルールは、新しい脆弱性情報が公開された際に変更される可能性があります。最新情報については、Firepower Management Center または Snort.org ををご覧ください。
Snort ルール:
43167-43168
Talos が公開した他の脆弱性情報については、脆弱性報告ポータル(http://www.talosintelligence.com/vulnerability-reports/)をご覧ください。
脆弱性の開示方針については、次のサイトを参照してください。
http://www.cisco.com/c/en/us/about/security-center/vendor-vulnerability-policy.html
本稿は 2017年8月8日に Talos Group
Authors