JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月11日、「Adobe AcrobatおよびReaderの脆弱性(APSB24-70)に関する注意喚起」において、Adobe AcrobatおよびAdobe Acrobat Readerに複数の重大な脆弱性が存在すると伝えた。これら脆弱性を悪用されると、細工されたPDFファイルを介して任意のコードを実行される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-41869 - 解放後使用(UAF: use-after-free)の脆弱性。攻撃者は細工したPDFファイルを介して任意のコードを実行できる可能性がある
- CVE-2024-45112 - 型の取り違えの脆弱性。攻撃者は細工したPDFファイルを介して任意のコードを実行できる可能性がある
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- Acrobat DC Continuous 24.003.20054 およびこれ以前のバージョン (Windows)
- Acrobat DC Continuous 24.002.21005 およびこれ以前のバージョン (MacOS)
- Acrobat Reader DC Continuous 24.003.20054 およびこれ以前のバージョン (Windows)
- Acrobat Reader DC Continuous 24.002.21005 およびこれ以前のバージョン (MacOS)
- Acrobat 2024 Classic 2024 24.001.30159 およびこれ以前のバージョン (Windows、macOS)
- Acrobat 2020 Classic 2020 20.005.30655 およびこれ以前のバージョン (Windows、macOS)
- Acrobat Reader 2020 Classic 2020 20.005.30655 およびこれ以前のバージョン (Windows、macOS)
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Acrobat DC Continuous 24.003.20112 (Windows、macOS)
- Acrobat Reader DC Continuous 24.003.20112 (Windows、macOS)
- Acrobat 2024 Classic 2024 24.001.30187 (Windows、macOS)
- Acrobat 2020 Classic 2020 20.005.30680 (Windows、macOS)
- Acrobat Reader 2020 Classic 2020 20.005.30680 (Windows、macOS)
これら脆弱性の深刻度は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)において重要(Important)と評価されているが、Adobeは緊急(Critical)と評価しており注意が必要。JPCERT/CCは該当製品の利用者に対し、最新バージョンへのアップデートを推奨している。