本文へジャンプ

Adobe Acrobat および Adobe Flash でのリモート・コード実行

世界的に有名なセキュリティー情報研究チームである IBM Internet Security Systems の X-Force が米国で発表したアドバイスを日本語に翻訳したものです。
ITサービス
特集・記事
掲載日 23 Jul 2009
IBM Internet Security Systems プロテクション・アラート
IBM ISS の対応範囲
詳細
参照
改訂履歴
X-Force セキュリティー・アラート&アドバイザリー

i
IBM Internet Security Systems プロテクション・アラート
通知日2009 年 7 月 22 日
通知バージョン1.0
名称Adobe Acrobat および Adobe Flash でのリモート・コード実行
公開/流通日2009 年 7 月 21 日
ゼロデイ攻撃の発見および脆弱性公開
説明Adobe Acrobat、Adobe Reader、および Adobe Flash には脆弱性が存在するため、リモート・コード実行を引き起こす可能性があります。
実際の悪用が発見されたことを受けて、この脆弱性は  2009 年 7 月 21 日に公開されました。
上に戻る
i
IBM ISS の対応範囲
製品コンテンツ
バージョン
Network Sensor 7.0
Proventia A
Proventia IPS (G/GX)
Server Sensor 7.0
Proventia Multifunction Appliance
Proventia Server (Linux)

29.060
Proventia Server (Windows)
Proventia Desktop		2400

 

伝播テクニックIBM ISS 製品入手可能日
リモート
エクスプロイト

JavaScript_Obfuscation_Fre

2009年6月9日

その他のプロテクションの詳細については、この後を参照してください。


JavaScript_Obfuscation_Fre は、X-Force が確認した、実際に広く流通している HTML ページのサンプルでトリガーされます。
その他の防御方法については調査中です。

上に戻る
i
詳細

ビジネスへの影響
被害者が特別に細工されたムービーを開いた場合、この脆弱性によりリモート・コード実行が引き起こされる可能性があります。一部の例では、このようなムービーが Adobe Acrobat (.pdf) 文書に埋め込まれていることが確認されています。  Adobe Acrobat、Adobe Reader、および Adobe Flash には脆弱性が存在しますが、公開時点では、パッチは提供されていません。悪質な文書およびムービーへのリンクは、スパムや一見悪意のない Web サイトのリンクから簡単に送信することができます。

CVSS

基本スコア9.3
アクセスネットワーク
アクセスの複雑さ
認証なし
機密性への影響全面的
完全性への影響全面的
可用性への影響全面的
調整済み一時スコア8.8
悪用の可能性
修正のレベル一時的対処法
レポートの信頼性確認済み


影響を受ける製品
影響を受けるソフトウェアおよびバージョンの一覧については、次の「参照」 をご覧ください。

技術的説明
Adobe Reader、Adobe Acrobat、および Adobe Flash には、PDF に埋め込まれた Flash ファイルを含め、Flash ファイルの処理に関連するエラーが原因で、リモートの攻撃者がシステム上で任意のコードを実行する可能性があります。リモートの攻撃者は、悪意のある Web ページをクリックする、または悪意のあるファイルを開くように被害者を仕向けることで、この脆弱性を悪用してメモリーを破壊し、被害者の権限を使ってシステム上で任意のコードを実行する可能性があります。


修正方法
このアラートの公開時点では、この問題に対するパッチは提供されていません。お客様は、セキュリティー製品を実装して悪用を阻止することができます。
上に戻る
i
参照
Adobehttp://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html
   
InfoSecBloghttp://www.infosecblog.org/2009/07/flash-zero-day.html
  
上に戻る
i
改訂履歴

1.0 初期公開

上に戻る
i
X-Force セキュリティー・アラート&アドバイザリー
一覧はこちらから
上に戻る
i
印刷用ページ ページをe-メールで送信