マカフィーは、Adobe Systems の Reader プログラムに、PDF 文書がいつどこで開かれたかを明らかにする脆弱性を発見したと発表した。
マカフィーの李海菲(リー・ハイフェイ)氏はブログ記事で、この問題は深刻なものではなく、リモートコード実行を許すものではないと述べている。しかし、マカフィーはこれをセキュリティ上の問題と捉えており、Adobeに通知済みだ。李氏によると、この問題は最新バージョンの11.0.2を含むすべてのバージョンのAdobe Readerに影響するという。
マカフィーは最近、「異常な」PDFサンプルをいくつか検出したとリー氏は記している。マカフィーは脆弱性に関する重要な詳細の一部を明らかにしていないものの、概要は明らかにしている。
この問題は、JavaScript API(アプリケーションプログラミングインターフェース)を呼び出す別のファイルパスへのリンクを起動した際に発生します。Reader は、インターネット上のリンクなど、別の場所にあるリソースを呼び出しようとしているユーザーに警告を表示します。
外部リソースが存在しない場合、警告ダイアログは表示されませんが、APIはTCPトラフィックを返します、とLi氏は記しています。2番目のパラメータを特別な値で操作することで、APIの動作が変化し、情報を明らかにします。これには、システム上のドキュメントの場所などの情報が含まれる可能性があり、「JavaScriptの 'this.path' 値を呼び出すことで」取得できるとLi氏は記しています。
「悪意のある送信者は、この脆弱性を悪用して、IPアドレス、インターネットサービスプロバイダー、さらには被害者のコンピュータルーチンといった機密情報を収集する可能性があります」とLi氏は記している。「さらに、当社の分析では、様々なPDF JavaScript APIを呼び出すことで、より多くの情報が収集される可能性があることが示唆されています。」
Li氏は、この問題が攻撃者による偵察に利用される可能性があると示唆している。
「自分のPDF文書を誰が開いたのか知りたいという好奇心から、この問題を利用する人もいるでしょう。しかし、それだけに留まらない人もいます」とLi氏は記している。「APT(Advanced Persistent Threat:高度で持続的な脅威)攻撃は通常、複数の高度なステップで構成されています。最初のステップは多くの場合、被害者から情報を収集することですが、この問題がその扉を開くのです。」
マカフィーは、Adobe Readerユーザーに対し、パッチがリリースされるまでJavaScriptを無効にすることを推奨している。Adobeの担当者にコメントを求めたが、すぐには連絡が取れなかった。
