Adobe FlashやAcrobat／Readerのアップデート公開 事前に公表の脆弱性も

[鈴木聖子，ITmedia]

　米Adobe Systemsは2月12日、Flash PlayerとAcrobatおよびReader、ColdFusion、Creative Cloud Desktop Applicationのセキュリティアップデートをそれぞれ公開し、深刻な脆弱性を多数修正した。

　AcrobatとReaderのアップデートはWindowsとmacOS向けに公開され、70件あまりの脆弱性が修正された。このうち情報流出の脆弱性（CVE-2019-7089、緊急度「クリティカル」）については、外部の研究者によって事前に公表され、コンセプト実証コードも公開されていた。

　この脆弱性について解説した0patchブログによると、悪用されれば不正なPDFを使って自動的にSMBリクエストを攻撃者のサーバに送信させることが可能とされ、ユーザーのNTLMハッシュがリモートの攻撃者に盗まれる恐れがあった。

　今回のアップデートでは他にも任意のコード実行の脆弱性など、深刻な問題が多数修正されている。ただ、アップデート適用の優先度は「2」に分類され、現時点で攻撃は発生していないと思われる。

AcrobatとReaderで、脆弱性を修正した更新版のバージョン一覧

　一方、Flash PlayerのアップデートはWindows、macOS、Linux、Chrome OSが対象となる。情報流出の脆弱性1件が修正され、緊急度は上から2番目に高い「重要」、優先度は「2」に指定されている。

　ColdFusionのアップデートでは2件の脆弱性、Creative Cloud Desktop Applicationのアップデートでは1件の脆弱性をそれぞれ修正した。優先度はColdFusionが「2」、Creative Cloudは「3」に分類している。