Adobe は、Illustrator とその Bridge コードにおける複数のリモート コード実行ホールに対する修正をリリースしました。
Windows 版 Adobe Illustrator バージョン 24.0.2 またはそれ以前のビルドを使用しているユーザーは、描画ツールの最新のセキュリティ修正である APSB20-20 を必ずインストールしてください。
Adobe 社はパッチについて、「このアップデートは、現在のユーザーのコンテキストで任意のコード実行につながる可能性のある重大な脆弱性を解決します」と述べています。
このアップデートは、CVEリストに登録されている5つのセキュリティ欠陥を修正します。いずれも重大なリスクとされています。これらのバグはいずれもメモリ破損エラーとされており、脆弱なマシン上でリモートコード実行を許す可能性があります。
いずれの場合も、悪意のあるIllustratorドキュメント(おそらくメールの添付ファイルまたはダウンロード)を開くことで、エクスプロイトが実行される。現時点では、実際に攻撃が行われているという報告はないが、パッチが公開された今、リバースエンジニアリングされ、標的型攻撃を受ける可能性は高まっている。
Fortiguard Labs の Kushal Arvind Shah 氏は、CVE-2020-9570 から CVE-2020-9574 まで指定されたプログラミング上の誤りを発見し、報告した功績を認められました。
ユーザーベースの規模から判断すると、Illustrator の修正はパッチの中でより重要になりますが、Adobe Bridge (「メディア アセット管理」と説明されているファイル管理ツール) を実行しているユーザーも、CVE リストに記載されている脆弱性を 17 件も修正するアップデートである APSB 20-19 を探す必要があります。
Adobe、Windows版Creative Cloudで任意のファイル削除バグを巧妙に偽装したディスククリーニングツールを発表
続きを読む
ユーザーは、Windows と macOS の両方のマシンで Creative Cloud のコピーを更新することで、Bridge の修正を入手できます。
これらの脆弱性は、バッファオーバーフローやヒープオーバーフローエラー、メモリ破損バグ、境界外読み取り・書き込みエラー、use-after-free() 脆弱性など多岐にわたります。17件の脆弱性のうち14件は、リモートコード実行に悪用される可能性があります。残りの3件は情報漏洩につながる可能性があります。
Adobe では、これらの修正が重要であると考えているため、ユーザーと管理者はできるだけ早くアップデートをテストしてインストールすることをお勧めします。
トレンドマイクロのゼロデイ・イニシアチブ(ZDI)に所属するマット・パウエル氏は、バグの大部分を発見した功績を認められ、17件のうち15件はパウエル氏によって発見され、アドビに報告されました。残りの2件は、同じくゼロデイ・イニシアチブに所属するフランシス・プロベンチャー氏と、ZDI経由で脆弱性を報告した匿名の人物によって発見されました。
ユーザーと管理者は、少なくともスケジュールに関しては、Adobeの修正プログラムをテストしてインストールする十分な時間を持つべきです。次回のパッチ火曜日のリリースまで2週間ほどありますので、アウトオブバンド修正を必要とする深刻なセキュリティバグが発生しない限り、Microsoft、Adobe、Intel、SAPからすぐにアップデートが提供される予定はありません。®
