ちょっと前のAdobeのヘルプファイルのXSSについて   5 comments

Posted at 9:23 am in XSS

この記事は 脆弱性”&'<<>\ Advent Calendar 2014 11日目の記事です!

こんにちは。皆様いかがお過ごしでしょうか。お久しぶりです。

私はフリー→派遣社員→無職→会社員と1年で4つも立場が変わりましたが、何となく脆弱性を見つけて日々過ごしています。あとネコを亡くして新しく迎え入れて逃げられて帰ってきて、というこちらについても怒涛の一年でした。毎年今年こそは平穏無事な日々を、と思っておりますが、なかなかそういうわけにもいきません。

ようやく落ち着いてきました

ようやく落ち着いてきました

 

さて、12月になって脆弱性 Advent Calendar 2014という興味深いものが日々公開され続けています。わたしも1つくらいは書けたらいいなあと思ってブログの下書きを見返したところ、なにやら書きかけのものがあったので、これを公開すればいいかなあと思ったのですが、惜しくもすでに24日を除いて全部埋まっておりました。イブに公開するほど大したものでもありませんのでひっそりと公開させていただきます。(とtwitterで書いてたら@hasegawayosukeさんに枠を1つ譲っていただきました。わーい。)

で、早速脆弱性の話なのですが、IPAから[複数の Adobe 製品のヘルプページにおけるクロスサイトスクリプティングの脆弱性(http://jvn.jp/jp/JVN84376800/)]が9月にようやく公開されたので、ちょっと時間は立ってしまいましたがこれについて書きます。報告したのは2012年の11月なのでおよそ2年前ですね。端的に書くと、Adobeのアプリにはそれぞれ中にヘルプページが入っているわけですが、このページにDOM based XSSがあって、location.searchだったかの扱いに問題があります。frameタグの中にそのまま書き出してる系ですね。

影響を受けるシステムはAdobe Acrobat 9.5.2 およびそれ以前とColdFusion 8.0.1 およびそれ以前、となっていますが、実際手元で確認したのがこの2つのパッケージだっただけだということで、実際はこの2つと同時期に流通していたAdobeのかなりの種類のアプリ(というかほぼ全部)が該当するはずです。具体的にはInDesign5とかイラレ8とかFlash10とかそのあたりです。

 

ローカルファイルのXSS

ローカルのヘルプファイルにあるXSS

 

他のパッケージにも脆弱性があると強く思っている理由は、過去(一部現在も)Adobeのサイトにそれらアプリケーションのヘルプファイルが置かれていたのですが、そこに上記のXSSが存在していたからです。普通に考えると同じ製品版にもあるに決まってますよね。

で、XSSの詳細について書こうと思ったのですが、ちょっと参照してみるとまだ脆弱性のあるページがAdobe.comにあったので詳細は差し控えます。言われたところしか修正しない会社って意外と多い気がします。

AdobeのサイトにあったXSS(これは修正されている)

AdobeのサイトにあったXSS(これは修正されている)

またColdFusionのサポートを見てもアップデートが出ている様子もなく、JVNのAdobeからの情報によるとThis issue is no longer reproducible in currently supported products.とのことなので、サポート外で放置なのかもしれません。とりあえずこのへんの古いバージョンのAdobeのアプリを使ってる人はfile:// の変なリンクをクリックしない方がいいと思います(ColdFusionの場合http://でも影響ありますが)。あと書き忘れていましたがWindows版のみでMac版は大丈夫だと思います。

Written by bogus on 12月 11th, 2014