公開日:2009/10/14 最終更新日:2010/05/21

JVNVU#257117
Adobe Reader および Acrobat の複数の JavaScript メソッドに脆弱性

概要

Adobe Reader および Acrobat には、JavaScript メソッドの実行を制限する仕組みに脆弱性が存在します。

影響を受けるシステム

  • Adobe Reader および Acrobat 9.1.3 およびそれ以前
  • Adobe Reader および Acrobat 8.1.6 およびそれ以前
  • Adobe Reader および Acrobat 7.1.3 およびそれ以前

詳細情報

Adobe Reader および Acrobat は、Portable Document Format (PDF) ドキュメントを閲覧および編集するためのソフトウェアです。また、ウェブブラウザにおいて PDF ドキュメントを閲覧するためのプラグインも提供されています。

Adobe Reader および Acrobat は JavaScript をサポートしています。Adobe が提供する JavaScript for Acrobat API Reference によると、特定の JavaScript メソッドの実行には、セキュリティ上の制限が設けられています。

Adobe Reader および Acrobat には、JavaScript メソッドの実行を適切に制限していない脆弱性が存在します。

想定される影響

細工された PDF ドキュメントをユーザが閲覧した場合に、特定の JavaScript メソッドを実行され、ユーザの権限で任意のファイルやフォルダを作成される可能性があります。

対策方法

アップデートする
Adobe が提供する情報をもとにアップデートを行ってください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • Adobe Reader および Acrobat で JavaScript を無効にする
  • ウェブブラウザ上での PDF ファイルの表示を無効にする
    PDF 表示を無効にする設定方法は、ウェブブラウザにより異なります。
  • 不審な PDF ファイルを開かない
    不審なメールに添付されている PDF ファイルを開いたり、不審なウェブサイトに掲載されている PDF ファイルを開かないようにする。

参考情報

  1. Vulnerability Note VU#257117
    Adobe Acrobat and Reader contain vulnerabilities in multiple Document Object JavaScript methods
  2. JVNTA09-286B
    Adobe Reader および Acrobat における脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2009.10.14における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運 (条件が揃う確率は中程度) が必要
  • 低 - 中

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA09-286B
Adobe Reader and Acrobat Vulnerabilities
CPNI Advisory
TRnotes
CVE CVE-2009-2993
JVN iPedia JVNDB-2009-002213

更新履歴

2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。