マカフィー株式会社 公式ブログ

McAfee Labs] 2010年9月13日 更新

拡散中のアドビPDFゼロデイエクスプロイトを発見

 

アドビがCVE-2010-2862のアウトオブバンド修正プログラムをリリースした直後、McAfee Labsでは、新たなゼロデイ脆弱性を利用するマルウェアが拡散していることを発見しました。iOS上で脱獄を実現するPDFファイル表示の脆弱性やCVE-2010-2862と同様に、今回のゼロデイ脆弱性も、発生するのはAdobe ReaderがTrueTypeフォントを解析している間です。McAfee Labsの分析により、この脆弱性はAdobe Reader最新版(v9.3.4)に影響を及ぼすことが確認されました。

このゼロデイ脆弱性は、典型的なスタックバッファオーバーフローの脆弱性であるため、この問題点を悪用するのは比較的簡単なようです。「Adobe Reader」の最新版はスタック保護(/GS)付きでコンパイルされていますが、このエクスプロイトは、ROP(Return Oriented Exploitation)テクニックを用いて/GS保護やDEPを回避します。

同様のテクニックが、旧式のアドビTIFFファイル解析の脆弱性に利用されていたことが分かっています。こうしたすべてのことが、ROPがDEPや既存のスタック保護を回避する手段として、マルウェア作者に幅広く認められているという事実を指し示していると思われます。

McAfee Labsは現在、アドビPSIRTと協調しており、このバグの詳細情報をすでに提供済みです。同アドビチームは、この問題に積極的に取り組んでいます。Adobe Acrobatユーザーの皆さんには、各種製品のセキュリティ定義の更新をお勧めします。

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/jp/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.