Adobe FlashやAcrobat/Readerのアップデート公開 事前に公表の脆弱性も
AcrobatとReaderの脆弱性のうち1件については、外部の研究者によって事前に公表され、コンセプト実証コードも公開されていた。
米Adobe Systemsは2月12日、Flash PlayerとAcrobatおよびReader、ColdFusion、Creative Cloud Desktop Applicationのセキュリティアップデートをそれぞれ公開し、深刻な脆弱性を多数修正した。
AcrobatとReaderのアップデートはWindowsとmacOS向けに公開され、70件あまりの脆弱性が修正された。このうち情報流出の脆弱性(CVE-2019-7089、緊急度「クリティカル」)については、外部の研究者によって事前に公表され、コンセプト実証コードも公開されていた。
この脆弱性について解説した0patchブログによると、悪用されれば不正なPDFを使って自動的にSMBリクエストを攻撃者のサーバに送信させることが可能とされ、ユーザーのNTLMハッシュがリモートの攻撃者に盗まれる恐れがあった。
今回のアップデートでは他にも任意のコード実行の脆弱性など、深刻な問題が多数修正されている。ただ、アップデート適用の優先度は「2」に分類され、現時点で攻撃は発生していないと思われる。
一方、Flash PlayerのアップデートはWindows、macOS、Linux、Chrome OSが対象となる。情報流出の脆弱性1件が修正され、緊急度は上から2番目に高い「重要」、優先度は「2」に指定されている。
ColdFusionのアップデートでは2件の脆弱性、Creative Cloud Desktop Applicationのアップデートでは1件の脆弱性をそれぞれ修正した。優先度はColdFusionが「2」、Creative Cloudは「3」に分類している。
関連記事
- Adobe、AcrobatとReaderの深刻な脆弱性に対処
今回のアップデートでは2件の脆弱性が修正された。悪用されれば任意のコードを実行されたり、権限を昇格されたりする恐れがある。 - Adobe、AcrobatとReaderのセキュリティアップデートを予告 米国時間1月3日に公開
セキュリティアップデートは米国時間の2019年1月3日、WindowsとmacOS向けに公開予定。 - Adobe、AcrobatとReaderの定例セキュリティアップデート公開 80件以上の脆弱性に対処
Adobe Systemsが、AcrobatとReaderの定例セキュリティアップデートを公開。80件以上の脆弱性に対処した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.