チェックしておきたいぜい弱性情報 <2009.7.30>

　7月26日までに明らかになったぜい弱性情報のうち，気になるものを紹介します。それぞれ，ベンダーなどの情報を参考に対処してください。

Adobe Reader，AcrobatおよびFlash Playerに関するぜい弱性（2009/07/22）

　7月21日，米アドビ システムズのブログにAdobe Reader，Acrobat 9.1.2とAdobe Flash Player 9と10に存在する潜在的なぜい弱性について調査中という報告が掲載されました。翌7月22日には，Adobe Flash Player 10.0.22.87，9.0.159.0およびそれ以前，Adobe Reader，Acrobat 9.1.2およびそれ以前のバージョンを対象に，異常終了やシステム侵害の影響を伴うぜい弱性（CVE-2009-1862）に関するアドバイザリが発行されました。アドバイザリ発行時点では非公式な対策が利用可能な状況にある一方で，Windows版Adobe Readerバージョン9を対象とした侵害活動が発生していたことから，深刻度をCVSS（common vulnerability scoring system，共通ぜい弱性評価システム）で示すと次のようになります。

ぜい弱性そのものの特性を評価する基本評価値=9.3
AV：攻撃元区分＝ネットワークから攻撃可能
AC：攻撃条件の複雑さ＝中
Au：攻撃前の認証要否＝認証操作が不要
C：機密性への影響（情報漏えいの可能性）＝全面的な影響を受ける
I：完全性への影響（情報改ざんの可能性）＝全面的な影響を受ける
A：可用性への影響（業務停止の可能性）＝全面的な影響を受ける

ぜい弱性の現在の深刻度を評価する現状評価値=8.8
E：攻撃される可能性＝容易に攻撃可能
RL：利用可能な対策のレベル＝非公式な対策が利用可能
RC ：ぜい弱性情報の信頼性＝開発者が情報を確認済

　このぜい弱性の影響を軽減する回避策の一つとして，US-CERT Vulnerability Note VU#259425では，Windows XP SP2以降導入されたDEP（データ実行防止，Data Execution Prevention）機能の併用を提示しています。

　Windows XP SP2以降の環境でDEP機能が有効になっているプロセスを調べる方法として，マイクロソフトのプロセス表示ツールであるプロセス・エクスプローラ（procexp.exe）を利用できます。DEP機能が有効になっているプロセスの場合には「DEP」が表示されます（写真1）。Windows XP SP2ではデフォルトで「重要なWindowsのプログラムおよびサービスについてのみ有効にする」と設定されていますが，Windows Application Compatibility Toolkitを用いることでDEP機能が有効になるプロセスを追加できます。写真2はWindows XP SP2環境でAdobe ReaderがDEP機能有効となるよう設定した例です。

写真1●プロセス・エクスプローラを用いたDEP機能の確認（Windows XP SP2）

[画像のクリックで拡大表示]

写真2●Application Compatibility Toolkitを用いたDEP機能の有効化（Windows XP SP2）

[画像のクリックで拡大表示]

　ここで，マルウエア感染を伴うCSS（コンピュータ・セキュリティ・シンポジウム）2008の論文募集のPDF（以降，css2008-cfp.pdf）について，Windows XP SP2環境下のAdobe Reader（バージョン8.1.0.137）で動作を確認した事例を示します。なお，css2008-cfp.pdfは，CVE-2007-5659のぜい弱性を悪用してマルウエア感染を引き起こします。

　Adobe Readerに対してDEP機能を設定しない場合には，css2008-cfp.pdfを開くとAcroRd32.exeからcsrse.exe，AcroRd32.exeが呼び出されます（写真3）。さらにC:\WINDOWS\Temp\csrse.exeに，マルウエア感染の痕跡を確認できます。一方，Adobe Readerに対してDEP機能を有効とした場合には，css2008-cfp.pdfを開くとWindows Error Reporting Dump Reporting Tool（dumprep.exe）が起動し（写真4），C:\WINDOWS\Tempには感染した痕跡はありませんでした。残念ながらCVE-2009-1862の侵害活動で用いられているPDFでの動作確認はできませんでしたが，Windows XP SP2以降導入されたDEP機能の併用は，Adobe Readerで発生するぜい弱性の影響を軽減する施策の一つとして活用できそうです。

写真3●Adobe Readerに対してDEP機能を設定しない場合（Windows XP SP2）

[画像のクリックで拡大表示]

写真4●Adobe Readerに対してDEP機能を有効とした場合（Windows XP SP2）

[画像のクリックで拡大表示]

[参考情報]

• APSA09-03：Adobe Reader，Acrobat および Flash Playerに関するぜい弱性
• JVNTR-2009-09-18：Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash のぜい弱性（TA09-204A）
• Process Explorer v11.33
• Understanding DEP as a mitigation technology part 1
• Understanding DEP as a mitigation technology part 2