Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Adobe Acrobat/Reader」既知脆弱性の実証コードが公開

「Adobe Acrobat」「Adobe Reader」において、7月に修正された脆弱性「CVE-2018-12794」の詳細が明らかにされた。あわせて実証コードも公開されている。

7月に公開された「Adobe Acrobat」「Adobe Reader」のアップデートでは、3段階中もっとも高い「クリティカル(Critical)」とレーティングされた脆弱性51件を含め、あわせて104件の脆弱性を修正したが、そのなかに含まれる「CVE-2018-12794」の詳細が公表された。

「CVE-2018-12794」は、型の取り違いに起因する脆弱性。悪用されると任意のコードを実行されるおそれがある。Zero Day Initiative(ZDI)のSebastian Apelt siberas氏がAdobe Systemsへ報告したもので、9月18日にZDIの研究チームが詳細を公表した。

脆弱性の悪用には、「XMLデータパッケージ(XDP)」を用いるが、非常にシンプルであると指摘。あわせて実証コード(PoC)をGitHub上で公開している。

Adobe Systemsは、7月にアップデートを公開した際、30日以内を目安に更新するよう推奨しており、今回のPoCが公開された時点ですでに70日以上が経過。9月には別の脆弱性に対処したあらたなアップデートをリリースしている。

ZDIは、今回脆弱性の詳細を明らかにした「Adobe Acrobat」「Adobe Reader」に限らず、PDF関連の脆弱性が多数見つかっていると指摘。最新のセキュリティパッチを適用するよう注意を呼びかけている。

また脆弱性の詳細が公表されたことを受け、JPCERTコーディネーションセンターでは、実証コードによって異常終了を引き起こすことが可能であることを確認したと報告。利用者へ早急にアップデートを実施するよう注意喚起を行っている。

(Security NEXT - 2018/09/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WordPress 5.1.1」がリリース - XSSの脆弱性など修正
サイトの脆弱性を診断する月額制クラウドサービス - セキュアブレイン
「Adobe Digital Editions」に深刻な脆弱性 - コード実行のおそれ
「Chrome 73」がリリース - セキュリティ関連の修正は60件
「Adobe Flash Player」にアップデート - セキュリティ修正は含まず
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Adobe Photoshop CC」に深刻な脆弱性 - アップデートがリリース
iOS向け保険管理アプリに脆弱性 - 「Cordova」向け旧プラグインに起因
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
「OpenSSL」の「ChaCha20-Poly1305」実装に脆弱性