2024/07/13 SecurityOnline — Fabasoft が発表したのは、人気の PDF.js ライブラリに存在する、深刻度の高い脆弱性 CVE-2024-4367 に対処するセキュリティ・アドバイザリである。Codean Labs により発見された、この脆弱性の悪用に成功した攻撃者は、悪意の PDF ファイルをユーザーが開いたときに、その Web ブラウザ内で任意の JavaScript コードを実行する可能性を得る。
脆弱性の詳細
Codean Labs のセキュリティ研究者たちは、脆弱性 CVE-2024-4367 の技術的詳細と PoC エクスプロイトを明らかにした。この脆弱性は、Mozilla が管理する JavaScript ベースの一般的な PDF ビューアである PDF.js ライブラリにおいて、フォントを処理する際の不適切なタイプチェックに起因する。この欠陥を悪用する攻撃者は、PDF.js のコンテキスト内で任意の JavaScript コードを実行し、ユーザーのシステムを危険にさらす可能性を手にする。
この脆弱性は、Firefox 126 以下のバージョンを実行している、すべてのユーザーに影響を及ぼす。それと同様に、Fabasoft eGov-Suite や Mindbreeze Enterprise などの、プレビュー機能に PDF.js を利用している、多数の Web/Electron ベースのアプリにも影響を及ぼす。
Fabasoft 製品への影響
この脆弱性は、以下の Fabasoft 製品に影響を及ぼす:
- Fabasoft eGov-Suite: 2024 Update Rollup 1 以下のバージョン
- Fabasoft Mindbreeze Enterprise: 24.3.0.268 以下のバージョン
緩和策と改善策
すでに Fabasoft は、eGov-Suite の各バージョンに Hotfix を提供し、この脆弱性に積対処している。すべてのユーザーに強く推奨されるのは、それぞれのバージョンに対する Hotfix をインストールして、リスクを軽減することである。
Fabasoft Mindbreeze Enterprise については、24.3.1.271 以降のバージョンへのアップグレードが推奨される。Fabasoft は、旧バージョンにおける代替案として、サーバ上のファイルを手動で編集して、脆弱な機能を無効化するための手順を提供している。
緊急性と推奨の対応策
この脆弱性は深刻度が高く、広範に悪用される可能性がある。したがって、Fabasoft ユーザーに求められるのは、提供されたパッチや緩和策を、可能な限り早急に適用することである。それを怠ると、システムが悪意の攻撃を受けやすくなり、データ漏洩/不正アクセスなどのセキュリティ・インシデントにつながる可能性が高まる。
Fabasoft eGov-Suite/Mindbreeze Enterprise を利用しているユーザーは、このソフトウェア・アップデートを優先し、Fabasoft が推奨する追加のセキュリティ対策を実施すべきである。そのような積極的な対応により、セキュリティ・インシデントを大幅に減らすことが可能となる。
PDF.js の脆弱性 CVE-2024-4367 ですが、2024/05/21 の「PDF.js の深刻な RCE 脆弱性 CVE-2024-4367:PoC エクスプロイトが提供」によると、PoC が提供されているとのことなので、ご利用のチームは、十分に お気をつけください。よろしければ、2024/05/07 の「PDF.js/React-PDF の脆弱性 CVE-2024-4367/34342 が FIX:ただちにアップデートを!」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.