IE11とFirefoxのAdobe PDF、意図しない情報漏洩の可能性

　AdobeによるInternet Explorer 11およびFirefox向けのPDFプラグインに、意図しない情報漏洩に繋がる可能性があることが指摘されている（JVNTA#94087669）。Adobe側はこの挙動について仕様としており、現時点で派修正される見込みは低いようだ。

　問題の脆弱性は、PDFにプログラムを埋め込める「FormCalc」という機能に関連するもの。FormCalcにはネットワーク経由でコンテンツの取得や送信を行える「Get」や「Post」、「Put」といった命令が用意されている。これを利用してPDFが配信されているドメインと同じドメイン上のデータを取得し、それを外部サーバーに送信するという処理をPDFを閲覧するマシン上で自動実行させることができるという。

　一般的なWebブラウザでは、スクリプトによるHTTPリクエストについて、リクエスト先をそのスクリプトを配信するドメインに限定する、「同一オリジンポリシー（same-origin policy）」が適用されている（Mozillaによるドキュメント）。しかし、FormCalcではこの制限が緩く、取得した情報を別のサイトに送信できてしまうという。

　JVNでは対策方法として、ユーザーによるPDFのアップロードを許可する場合、アップロードされたPDFは別のドメインに格納することを挙げている。また、ユーザー側ではIE11やFirefoxのAdobe PDFプラグインを無効にするという対策も記載されている。

　なお「Hack Patch!」ブログによると、FormCalcのセキュリティ問題については以前よりさまざまな指摘があり、これを悪用した様々な実証コードが公開されている模様。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Firefox 41.0.2リリース、クロスオリジン制限を迂回可能な脆弱性を修正 2015年10月17日
HTML5で開発するときのセキュリティリスク 2013年06月28日
「WebGL」にセキュリティ問題、規格自体の大規模な修正が必要に？ 2011年05月12日