最終更新日: 2016/11/25
情報源
Japan Vulnerability Notes JVNTA#94087669
細工された PDF による情報詐取について
https://jvn.jp/ta/JVNTA94087669/
概要
PDF ファイルに FormCalc 言語で書かれたスクリプトを埋め込むことで、そのファイルがホストされているサーバ上の情報を取得することが可能です。結果として、遠隔の第三者が、アップロードされた PDF ファイルにユーザを誘導することで、ユーザが所有する任意の情報を取得する可能性があります。
この問題は、以下の対策を適用することで解決します。
サーバ側の対策
– PDF コンテンツを別のサンドボックス・ドメイン上に格納する
クライアント側の対策
– ウェブブラウザ (IE11、Firefox) の Adobe PDF プラグインを無効にする
関連文書 (英語)
OWASP AppSecEU 15
PDF – Mess with the web
https://2015.appsec.eu/wp-content/uploads/2015/09/owasp-appseceu2015-infuhr.pdf
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2016-11-24」
https://www.jpcert.or.jp/wr/2016/wr164601.html