Didier Stevens による PDF のデモの話題が盛り上がっているようなので、、、
mikko hypponen がお勧めしていた gPDF はネット上に公開されたもののみ有効。デスクトップ上に保存された PDF は結局Adobe Reader や Foxit Reader などを使わざるを得ません。従いまして、その他のリスク緩和策を考える必要があります。
今回問題になっているのは /Action /Launch を利用することで、PDF ファイルを介してプログラムが実行できてしまうことです。
単純に考えますと、/Launch が呼び出されなければ良さそうです。(本当にこれだけでいいのかな??)
これらに関係しているのは、 AcroRd32.dll ですので、さっそく手を加え、 /Launch を呼び出せない AcroRd32.dll を試作して(遊んで)みました。
BEFORE
AFTER
AcroRd32.dll 置換後は、Launch に関係するプラグインが利用できなくなりました。
一応、効果はありそうですね♪(笑)
(四月馬鹿じゃないですよ!)
尚、私の検証環境は、次のとおりです。
・Windows XP SP3 (full patched)
・Adobe Reader 9.3(最新版)
テストしたいという物好きなかたは、こちら。
SHA1: 86a76d38547954c16cd7e883c2842d0845734d5b
自己責任でお願いします・・・ (_ _)
もっと、良い方法があるようでしたら教えて頂けますと幸いです。
#確か、PDFのモジュールとかを制御できるツールがあったような・・・
もっとも、すぐにAdobe社から公式なもの(見解?パッチ?)がリリースされるかもしれませんが。。。
mikko hypponen がお勧めしていた gPDF はネット上に公開されたもののみ有効。デスクトップ上に保存された PDF は結局Adobe Reader や Foxit Reader などを使わざるを得ません。従いまして、その他のリスク緩和策を考える必要があります。
今回問題になっているのは /Action /Launch を利用することで、PDF ファイルを介してプログラムが実行できてしまうことです。
単純に考えますと、/Launch が呼び出されなければ良さそうです。(本当にこれだけでいいのかな??)
これらに関係しているのは、 AcroRd32.dll ですので、さっそく手を加え、 /Launch を呼び出せない AcroRd32.dll を試作して(遊んで)みました。
BEFORE
AFTER
AcroRd32.dll 置換後は、Launch に関係するプラグインが利用できなくなりました。
一応、効果はありそうですね♪(笑)
(四月馬鹿じゃないですよ!)
尚、私の検証環境は、次のとおりです。
・Windows XP SP3 (full patched)
・Adobe Reader 9.3(最新版)
テストしたいという物好きなかたは、こちら。
SHA1: 86a76d38547954c16cd7e883c2842d0845734d5b
自己責任でお願いします・・・ (_ _)
もっと、良い方法があるようでしたら教えて頂けますと幸いです。
#確か、PDFのモジュールとかを制御できるツールがあったような・・・
もっとも、すぐにAdobe社から公式なもの(見解?パッチ?)がリリースされるかもしれませんが。。。