JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月11日、「Adobe AcrobatおよびReaderの脆弱性(APSB24-92)に関する注意喚起」において、Adobe AcrobatおよびAdobe Acrobat Readerに脆弱性が存在するとして、注意を喚起した。

これら脆弱性を悪用されると、攻撃者が作成した悪意のあるファイルを開いた際に任意のコードを実行される可能性がある。

  • Adobe AcrobatおよびReaderの脆弱性(APSB24-92)に関する注意喚起

    Adobe AcrobatおよびReaderの脆弱性(APSB24-92)に関する注意喚起

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-49530 - 解放後使用(UAF: use-after-free)の脆弱性。攻撃者は細工したファイルを開かせることで、現在のユーザーコンテキストで任意のコードを実行できる可能性がある(CVSSスコア: 7.0)
  • CVE-2024-49535 - XML外部実体(XXE: XML External Entity)の不適切な制限の脆弱性。攻撃者は細工したファイルを開かせることで、データ漏洩および任意のコードを実行できる可能性がある(CVSSスコア: 6.3)
  • CVE-2024-49531 - NULLポインターの間接参照の脆弱性。攻撃者は細工したファイルを開かせることで、アプリケーションをクラッシュさせる可能性がある(CVSSスコア: 4.7)
  • CVE-2024-49532CVE-2024-49533CVE-2024-49534 - 境界外読み取りの脆弱性。攻撃者は細工したファイルを開かせることで、アドレス空間配置のランダム化(ASLR: Address Space Layout Randomization)などを回避する可能性がある(CVSSスコア: 5.5)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Acrobat DC Continuous 24.005.20307およびこれ以前のバージョン(Windows、macOS)
  • Acrobat Reader DC Continuous 24.005.20307およびこれ以前のバージョン(Windows、macOS)
  • Acrobat 2024 Classic 2024 24.001.30213およびこれ以前のバージョン(Windows)
  • Acrobat 2024 Classic 2024 24.001.30193およびこれ以前のバージョン(macOS)
  • Acrobat 2020 Classic 2020 20.005.30730およびこれ以前のバージョン(Windows)
  • Acrobat 2020 Classic 2020 20.005.30710およびこれ以前のバージョン(macOS)
  • Acrobat Reader 2020 Classic 2020 20.005.30730およびこれ以前のバージョン(Windows)
  • Acrobat Reader 2020 Classic 2020 20.005.30710およびこれ以前のバージョン(macOS)

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Acrobat DC Continuous 24.005.20320(Windows、macOS)
  • Acrobat Reader DC Continuous 24.005.20320(Windows、macOS)
  • Acrobat 2024 Classic 2024 24.001.30225(Windows、macOS)
  • Acrobat 2020 Classic 2020 20.005.30748(Windows、macOS)
  • Acrobat Reader 2020 Classic 2020 20.005.30748(Windows、macOS)

これら脆弱性の中で最も深刻度の高いものは重要(Important)と評価されており注意が必要。JPCERT/CCは当該製品のユーザーに、速やかなアップデートを推奨している。