IE11とFirefoxのAdobe PDF、意図しない情報漏洩の可能性
2016年11月17日 17:39
AdobeによるInternet Explorer 11およびFirefox向けのPDFプラグインに、意図しない情報漏洩に繋がる可能性があることが指摘されている(JVNTA#94087669)。Adobe側はこの挙動について仕様としており、現時点で派修正される見込みは低いようだ。
問題の脆弱性は、PDFにプログラムを埋め込める「FormCalc」という機能に関連するもの。FormCalcにはネットワーク経由でコンテンツの取得や送信を行える「Get」や「Post」、「Put」といった命令が用意されている。これを利用してPDFが配信されているドメインと同じドメイン上のデータを取得し、それを外部サーバーに送信するという処理をPDFを閲覧するマシン上で自動実行させることができるという。
一般的なWebブラウザでは、スクリプトによるHTTPリクエストについて、リクエスト先をそのスクリプトを配信するドメインに限定する、「同一オリジンポリシー(same-origin policy)」が適用されている(Mozillaによるドキュメント)。しかし、FormCalcではこの制限が緩く、取得した情報を別のサイトに送信できてしまうという。
JVNでは対策方法として、ユーザーによるPDFのアップロードを許可する場合、アップロードされたPDFは別のドメインに格納することを挙げている。また、ユーザー側ではIE11やFirefoxのAdobe PDFプラグインを無効にするという対策も記載されている。
なお「Hack Patch!」ブログによると、FormCalcのセキュリティ問題については以前よりさまざまな指摘があり、これを悪用した様々な実証コードが公開されている模様。
スラドのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー: Firefox 41.0.2リリース、クロスオリジン制限を迂回可能な脆弱性を修正 2015年10月17日 HTML5で開発するときのセキュリティリスク 2013年06月28日 「WebGL」にセキュリティ問題、規格自体の大規模な修正が必要に? 2011年05月12日