JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月11日、「Adobe AcrobatおよびReaderの脆弱性(APSB24-92)に関する注意喚起」において、Adobe AcrobatおよびAdobe Acrobat Readerに脆弱性が存在するとして、注意を喚起した。
これら脆弱性を悪用されると、攻撃者が作成した悪意のあるファイルを開いた際に任意のコードを実行される可能性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-49530 - 解放後使用(UAF: use-after-free)の脆弱性。攻撃者は細工したファイルを開かせることで、現在のユーザーコンテキストで任意のコードを実行できる可能性がある(CVSSスコア: 7.0)
- CVE-2024-49535 - XML外部実体(XXE: XML External Entity)の不適切な制限の脆弱性。攻撃者は細工したファイルを開かせることで、データ漏洩および任意のコードを実行できる可能性がある(CVSSスコア: 6.3)
- CVE-2024-49531 - NULLポインターの間接参照の脆弱性。攻撃者は細工したファイルを開かせることで、アプリケーションをクラッシュさせる可能性がある(CVSSスコア: 4.7)
- CVE-2024-49532、CVE-2024-49533、CVE-2024-49534 - 境界外読み取りの脆弱性。攻撃者は細工したファイルを開かせることで、アドレス空間配置のランダム化(ASLR: Address Space Layout Randomization)などを回避する可能性がある(CVSSスコア: 5.5)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- Acrobat DC Continuous 24.005.20307およびこれ以前のバージョン(Windows、macOS)
- Acrobat Reader DC Continuous 24.005.20307およびこれ以前のバージョン(Windows、macOS)
- Acrobat 2024 Classic 2024 24.001.30213およびこれ以前のバージョン(Windows)
- Acrobat 2024 Classic 2024 24.001.30193およびこれ以前のバージョン(macOS)
- Acrobat 2020 Classic 2020 20.005.30730およびこれ以前のバージョン(Windows)
- Acrobat 2020 Classic 2020 20.005.30710およびこれ以前のバージョン(macOS)
- Acrobat Reader 2020 Classic 2020 20.005.30730およびこれ以前のバージョン(Windows)
- Acrobat Reader 2020 Classic 2020 20.005.30710およびこれ以前のバージョン(macOS)
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Acrobat DC Continuous 24.005.20320(Windows、macOS)
- Acrobat Reader DC Continuous 24.005.20320(Windows、macOS)
- Acrobat 2024 Classic 2024 24.001.30225(Windows、macOS)
- Acrobat 2020 Classic 2020 20.005.30748(Windows、macOS)
- Acrobat Reader 2020 Classic 2020 20.005.30748(Windows、macOS)
これら脆弱性の中で最も深刻度の高いものは重要(Important)と評価されており注意が必要。JPCERT/CCは当該製品のユーザーに、速やかなアップデートを推奨している。