Adobe Systemsは米国時間5月14日、「Adobe Flash Player」や「Adobe Acrobat」「Adobe Acrobat Reader」に存在し、情報の漏えいや任意のコード実行につながる恐れがある、複数の深刻な脆弱性に対処するアップデートを、セキュリティアドバイザリーとともに公開した。
最大のセキュリティアップデートは「Windows」や「macOS」上で稼働する「Adobe Acrobat DC」や「Adobe Acrobat Reader DC」「Adobe Acrobat 2017」「Adobe Acrobat Reader 2017」に関するものだ。今回対処されたこれら合計84件の脆弱性は緊急度が「重要」あるいは「クリティカル」に分類されている。
Adobeは今回、任意のコード実行につながり得る同社ソフトウェアのセキュリティ脆弱性への対処に注力しているように見受けられる。
領域外のメモリー書き込み(out-of-bounds write)による問題6件や、型の混乱(type confusion)に起因する問題1件、メモリーの解放後使用(use-after-free)に関する問題36件、ヒープオーバーフロー(heap overflow)の問題2件、バッファエラーの問題1件、メモリーの二重解放(double free)の問題1件、セキュリティバイパスの問題1件という、クリティカルに分類されている脆弱性がすべて解決されている。
さらに今回、AcrobatとReaderに潜んでいた36個の問題も対処されている。それらは、情報漏えいに悪用できる領域外のメモリー参照(out-of-bounds read)の問題だ。
Adobe Flashは同社のセキュリティアップデートにおいて常連とも言えるソフトウェアであり、それは今回も例外ではない。とは言うものの、今回のアップデートで対処されたのは「CVE-2019-7837」に対するもの1件だけだった。これはメモリーの解放後使用という問題であり、現在のユーザーコンテキストにおいて任意のコードを実行するために悪用できるものだ。
また、「Adobe Media Encoder」に対するアップデートも発行されている。これはメモリーの解放後使用による遠隔地からのコード実行(「CVE-2019-7842」)と、領域外メモリーの読み込み(「CVE-2019-7844」)という脆弱性に対処するものだ。
これらが悪用された場合、現在のユーザーコンテキストにおいて任意のコードを実行される可能性がある。
Adobeは今回対処した問題を報告してくれたトレンドマイクロのZero Day Initiative(ZDI)と、Tencent Security Xuanwu Lab、Palo Alto Networks、Cisco Talosなどのリサーチャーらに謝意を表している。
こういった攻撃のリスクを軽減するために、ユーザーは自動アップデートを選択し、最新版のソフトウェアを使用するようにしておくことが推奨されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
