Adobe Systemsは米国時間8月9日、「Adobe Acrobat」関連製品の脆弱性を修正するセキュリティアップデートをリリースした。同社のセキュリティアドバイザリによると、影響を受ける製品は「Acrobat DC」(連続トラックおよびクラシックトラック)と「Acrobat Reader DC」(連続トラックおよびクラシックトラック)、「Acrobat 2017」「Acrobat Reader 2017」「Acrobat XI」「Reader XI」だという(いずれの製品も「Windows」向けと「macOS」(OS X)向け)。
これら脆弱性のなかには、遠隔地から任意のコード実行を許すものも含まれている。
Cisco Talosの研究者であるAleksandar Nikolic氏がAcrobat Reader DC内で発見した「TALOS-2017-0361」(CVE-2017-11263)という脆弱性は、PDF文書内でフォームの入力を可能にする「Acroform」と呼ばれる機能が使用する、入力情報をデータとして構築するためのソフトウェアコンポーネント内に存在している。
細工を施したPDFドキュメントによってこの脆弱性を悪用することで、解析コンポーネントが意図しない状態に遷移し、プロセス内のメモリに対するアクセスや上書きが可能になる結果、任意のコードを実行されるおそれがあるという。
攻撃者は、悪意のあるファイルをオープンさせたり、悪意のあるウェブページにアクセスするよう仕向けることでこの脆弱性を利用できる。
Adobeはこの脆弱性に対処するソフトウェアアップデートのほかにも、緊急度が「クリティカル」と「重要」に分類され、「影響を受けるシステムの制御を攻撃者に引き渡す可能性がある」複数の脆弱性に対処するソフトウェアアップデートもリリースしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
