「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も
Adobe Systemsは、5月14日に定例外で「Adobe Acrobat/Reader」向けにアップデートを提供し、複数の脆弱性へ対処したが、一部がすでに悪用されていることが判明した。
アップデート公開当初、悪用に関する報告はなかったが、同社はアドバイザリを更新。メモリを二重解放する脆弱性「CVE-2018-4990」について、すでに悪用するエクスプロイトが出回っていることを明らかにした。
公開当初より高い適用優先度のもと、利用者へ早期適用を呼びかけているが、より緊急性が高い脆弱性であることが判明した。
さらに域外よりメモリを読み込み、情報漏洩が生じるおそれがある脆弱性「CVE-2018-4985」に関しても、実証コード(PoC)がリリースされ、容易に入手できる状態となっており、悪用のリスクが高まっている。
脆弱性を修正したアップデートのバージョン(表:Adobe Systems)
お知らせ:本記事初出時において、ゼロデイ攻撃に用いられていると表現しておりましたが、脆弱性を悪用するファイルが流通しているものの、具体的な攻撃へ用いられたこととニュアンスが異なるため、一部表現を修正しました。
(Security NEXT - 2018/05/16 )
ツイート
PR
関連記事
前月の更新で「Bamboo」「Jira」など脆弱性14件を修正 - Atlassian
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
アイ・オー製NAS管理アプリに権限昇格の脆弱性
コンテナ保護基盤「NeuVector」に複数脆弱性 - 「クリティカル」も
GitLab、アップデートを公開 - 脆弱性7件を解消
「BIND 9」にキャッシュポイズニングなど複数脆弱性
端末管理製品「LANSCOPE」の脆弱性狙う攻撃に注意喚起 - 米当局
ZohoのAD管理支援ツールに脆弱性 - アップデートで修正
脆弱性狙われる「Oracle EBS」、定例パッチでさらなる修正
Oracle、定例パッチを公開 - 脆弱性のべ374件を修正
