拡散中のアドビPDFゼロデイエクスプロイトを発見

2010/09/13

アドビがCVE-2010-2862のアウトオブバンド修正プログラムをリリースした直後、McAfee Labsでは、新たなゼロデイ脆弱性を利用するマルウェアが拡散していることを発見しました。iOS上で脱獄を実現するPDFファイル表示の脆弱性やCVE-2010-2862と同様に、今回のゼロデイ脆弱性も、発生するのはAdobe ReaderがTrueTypeフォントを解析している間です。McAfee Labsの分析により、この脆弱性はAdobe Reader最新版(v9.3.4)に影響を及ぼすことが確認されました。

このゼロデイ脆弱性は、典型的なスタックバッファオーバーフローの脆弱性であるため、この問題点を悪用するのは比較的簡単なようです。「Adobe Reader」の最新版はスタック保護(/GS)付きでコンパイルされていますが、このエクスプロイトは、ROP(Return Oriented Exploitation)テクニックを用いて/GS保護やDEPを回避します。

同様のテクニックが、旧式のアドビTIFFファイル解析の脆弱性に利用されていたことが分かっています。こうしたすべてのことが、ROPがDEPや既存のスタック保護を回避する手段として、マルウェア作者に幅広く認められているという事実を指し示していると思われます。

McAfee Labsは現在、アドビPSIRTと協調しており、このバグの詳細情報をすでに提供済みです。同アドビチームは、この問題に積極的に取り組んでいます。Adobe Acrobatユーザーの皆さんには、各種製品のセキュリティ定義の更新をお勧めします。