Adobe の『PDF』形式に新たな脆弱性が見つかる

この記事のURLhttp://japan.internet.com/webtech/20070925/11.html

Adobe (NASDAQ:ADBE) の『PDF』形式ファイルに、新たな脆弱性が見つかった。今のところ詳細を知っているのは同社と善玉のハッカーだけだが、悪玉のクラッカーたちが嗅ぎつけるのも時間の問題だろう。

PDF については今年1月、今回とは別の脆弱性が見つかり、Adobe が直ちに対応した経緯がある。また7月には、画像スパムなどの検出能力が強くなったスパムフィルタに対抗する上で、新たな回避手段として悪用する例が発生し始めているとの指摘があった。

だが、PDF をベースにしたスパムの勢いは、数か月ほどで沈静化した。その理由は、スパムの頒布手段として非常に効率が悪い上、スパム対策ソフトウェア ベンダーが効果的な検出技術を開発したためだ。

さて今回の問題だが、pdp の異名を持ち、英国のセキュリティ コンサルタント組織 Gnucitizen の代表として活動する Petko D. Petkov 氏は、PDF 内の JavaScript を用いた悪用方法を発見した。Petkov 氏によると、感染した PDF ファイルを開いたユーザーのクライアント上で、悪意のある JavaScript コード実行のおそれがあるという。

Petkov 氏は、この脆弱性が非常に危険なこと、PDF があまりにも普遍化していること、そして Gnucitizen サイトの投稿記事で述べているように「Adobe が非オープンソースの自社製品に修正を加えるには、しばらく時間がかかる可能性がある」といった理由から、概念実証コードを公表するつもりはないとしている。

セキュリティ製品を手がける Secure Computing (NASDAQ:SCUR) の技術エバンジェリズム担当副社長 Paul Henry 氏は取材に対し、サンプルコードがなくとも、クラッカーたちが PDF の脆弱性を求めて嗅ぎ回る動機付けには十分だと指摘し、「(脆弱性) 発見の事実だけで、いずれ悪用されることになるだろうと思わざるを得ない」と述べた。

Henry 氏はこの脆弱性について、JavaScript をファイルに埋め込むことでウイルス対策ソフトウェアが検出できない可能性があるため、極めて潜行性が高いと語る。「現在の Web 2.0 の世界では、悪意のあるスクリプトを含め、ネットワークから受け取るすべてのものを検証することが重要だ」

Adobe はこの問題の存在を認め、取材に対して文書で次のように回答を寄せた。「当社と Petkov 氏は互いに連絡を取り合っている。われわれは現在、潜在的な問題について調査を進めており、この作業が完了次第、セキュリティ情報サイト『Adobe Security Bulletins and Advisories』を通じ、より詳しい情報を公開する予定だ」

現時点において Adobe と Secure Computing は、いずれも同じ内容の回避策を勧めている。それは、不明な送信元から届いた PDF ファイルはもちろん、既知の送信元から届いた場合でも予期しないファイルならば、送信者に再確認を取るまで開いてはならない、というものだ。