Adobeは火曜日、AcrobatとReaderソフトウェアのアップデート版を公開しました。14件の脆弱性を修正しており、そのうち4件は「緊急」レベルに指定されています。これらのアップデートは、脆弱性を解消するためにできるだけ早くインストールする必要があります。
セキュリティ速報 (APSB20-67) は、Acrobat DC、Acrobat Reader DC、Acrobat 2020、Acrobat Reader 2020、Acrobat 2017、macOS および Windows 版の Acrobat Reader 2017 を対象としています。
14 個の CVE がフラグ付けされています。
| 脆弱性カテゴリ | 脆弱性の影響 | 重大度 | CVE番号 |
|---|---|---|---|
| ヒープベースのバッファオーバーフロー
| 任意のコード実行
| 致命的 |
CVE-2020-24435 |
| 不適切なアクセス制御 | ローカル権限昇格
| 重要
| CVE-2020-24433 |
| 不適切な入力検証 | 任意のJavaScript実行
| 重要
| CVE-2020-24432 |
| 署名検証バイパス
| 最小限(多層防御修正)
| 適度
| CVE-2020-24439
|
| 署名検証バイパス | ローカル権限昇格
| 重要
| CVE-2020-24429 |
| 不適切な入力検証 | 情報開示
| 重要 | CVE-2020-24427 |
| セキュリティ機能のバイパス | 動的ライブラリ注入
| 重要 | CVE-2020-24431 |
| 境界外書き込み
| 任意のコード実行
| 致命的 | CVE-2020-24436 |
| 境界外読み取り
| 情報開示
| 適度
|
CVE-2020-24426 CVE-2020-24434 |
| 競合状態 | ローカル権限昇格
| 重要 | CVE-2020-24428 |
| 使用後解放
| 任意のコード実行
| 致命的 |
CVE-2020-24430 CVE-2020-24437 |
| 使用後解放
| 情報開示
| 適度
| CVE-2020-24438
|
特定されたCVEはいずれもCERT/CCのVulnonymボットによって命名されていないため、今後の動向に期待が持てます。この記事の執筆時点で、名前が付けられた最新のCVEは、IBM App Connect Enterprise Certified Containerのクリックハイジャックバグ(CVE-2020-4785)で、「Whacking Mouflon(ムーフロン)」と呼ばれていました。(ちなみに、ムーフロンとはコルシカ島とサルデーニャ島に生息する野生の羊のことです。)
Oracle は、ユーザー名とパスワードを必要とせずに悪用される可能性のある WebLogic Server の重大な欠陥を修正しました。
続きを読む
Adobeはセキュリティ情報の中で、これらの4つの重大な脆弱性が悪用された場合、「現在のユーザーのコンテキストで任意のコードが実行される」可能性があると述べています。これはセキュリティの観点から決して望ましい状況ではないため、影響を受けるAdobeソフトウェアを使用している方は、直ちにアップデートすることをお勧めします。
「重要」および「中程度」と評価された脆弱性は、懸念事項として軽視すべきではありません。これらの脆弱性により、権限昇格、任意のJavaScript実行、情報漏洩など、望ましくない結果が生じる可能性があります。
Adobeは通常、多くのテクノロジー企業が毎月第2火曜日に行う「Patch Tuesday(パッチチューズデー)」にパッチをリリースしています。The Register紙はAdobeに対し、なぜ毎月第1火曜日にアウトオブバンドパッチをリリースすることにしたのかを尋ねたところ、広報担当者はそのようなことは時々あると回答したものの、明確な説明はしませんでした。
「Adobe は、定期的に予定されているアップデートをアップデート/パッチ チューズデーにリリースするよう努めていますが、定期的に予定されているセキュリティ アップデートが、アップデート/パッチ チューズデー以外の日にリリースされることもあります」と広報担当者は述べています。
「Adobe Reader および Acrobat の 2020 年 11 月リリースは、新しい製品機能に加え、バグやセキュリティの脆弱性の修正を含む標準製品リリースです。」®
