アドビ、「Flash Player」などのセキュリティアップデートを公開--深刻な脆弱性に対処

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部 2019年05月16日 10時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

 Adobe Systemsは米国時間5月14日、「Adobe Flash Player」や「Adobe Acrobat」「Adobe Acrobat Reader」に存在し、情報の漏えいや任意のコード実行につながる恐れがある、複数の深刻な脆弱性に対処するアップデートを、セキュリティアドバイザリーとともに公開した。

 最大のセキュリティアップデートは「Windows」や「macOS」上で稼働する「Adobe Acrobat DC」や「Adobe Acrobat Reader DC」「Adobe Acrobat 2017」「Adobe Acrobat Reader 2017」に関するものだ。今回対処されたこれら合計84件の脆弱性は緊急度が「重要」あるいは「クリティカル」に分類されている。

 Adobeは今回、任意のコード実行につながり得る同社ソフトウェアのセキュリティ脆弱性への対処に注力しているように見受けられる。

 領域外のメモリー書き込み(out-of-bounds write)による問題6件や、型の混乱(type confusion)に起因する問題1件、メモリーの解放後使用(use-after-free)に関する問題36件、ヒープオーバーフロー(heap overflow)の問題2件、バッファエラーの問題1件、メモリーの二重解放(double free)の問題1件、セキュリティバイパスの問題1件という、クリティカルに分類されている脆弱性がすべて解決されている。

 さらに今回、AcrobatとReaderに潜んでいた36個の問題も対処されている。それらは、情報漏えいに悪用できる領域外のメモリー参照(out-of-bounds read)の問題だ。

 Adobe Flashは同社のセキュリティアップデートにおいて常連とも言えるソフトウェアであり、それは今回も例外ではない。とは言うものの、今回のアップデートで対処されたのは「CVE-2019-7837」に対するもの1件だけだった。これはメモリーの解放後使用という問題であり、現在のユーザーコンテキストにおいて任意のコードを実行するために悪用できるものだ。

 また、「Adobe Media Encoder」に対するアップデートも発行されている。これはメモリーの解放後使用による遠隔地からのコード実行(「CVE-2019-7842」)と、領域外メモリーの読み込み(「CVE-2019-7844」)という脆弱性に対処するものだ。

 これらが悪用された場合、現在のユーザーコンテキストにおいて任意のコードを実行される可能性がある。

 Adobeは今回対処した問題を報告してくれたトレンドマイクロのZero Day Initiative(ZDI)と、Tencent Security Xuanwu Lab、Palo Alto Networks、Cisco Talosなどのリサーチャーらに謝意を表している。

 こういった攻撃のリスクを軽減するために、ユーザーは自動アップデートを選択し、最新版のソフトウェアを使用するようにしておくことが推奨されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]