Bleeping Computerは4月13日(現地時間)、「Adobe rolls out emergency fix for Acrobat, Reader zero-day flaw」において、Adobeが提供するPDF閲覧・編集ソフトの「Acrobat」および「Acrobat Reader」に深刻なゼロデイ脆弱性が見つかり、同社が緊急パッチを公開したと伝えた。
問題の脆弱性はすでに攻撃での悪用が確認されており、細工されたPDFファイルを開くことで任意コードが実行される可能性があるため、早急に対処する必要がある。
脆弱性を悪用されるとどんなリスクがあるのか?PDFファイルを開くだけで攻撃にさらされる危険性
今回のアップデートで修正された脆弱性は「CVE-2026-34621」として追跡されているもので、深刻度は上から2番目の「高(high)」、CVSS v3の基本スコアは8.6となっている。攻撃者がこの脆弱性を悪用すると、悪意を持って加工したPDFファイルによってアプリケーションのサンドボックスの制限を回避し、現在のユーザーの権限でJavaScript APIを呼び出して任意のコードを実行できるようになる。Adobeによれば、オブジェクトプロトタイプ属性の不適切な制御が原因とのこと。
どの製品とバージョンが影響を受けるのか?
この脆弱性の影響を受ける製品およびバージョンは以下のとおり。Windows版とMac版の両方が影響を受ける。
- Acrobat DC バージョン26.001.21367以前
- Acrobat Reader DC バージョン26.001.21367以前
- Acrobat 2024 バージョン24.001.30356以前
詳細は下記セキュリティアドバイザリーにまとめられている。
-
Security update available for Adobe Acrobat Reader
いつから攻撃に悪用されているのか?
注目すべきは、すでに実際の攻撃でこの脆弱性の悪用が確認されているという点だ。具体的には、util.readFileIntoStream()やRSS.addFeed()のようなJavaScript APIを悪用してデータを盗み出し、さらに追加の攻撃コードを展開するように加工されたPDFファイルが出回っているとのこと。ユーザーは、このPDFファイルを開くだけで被害を受ける可能性がある。
この攻撃は、セキュリティ研究者のHaifei Li氏が最初に発見し、今年3月にAdobeに報告した。ただしLi氏によると、攻撃は少なくとも4か月前からAdobeユーザーを標的にして実施されていた可能性があるとのこと。Bleeping Computerでは、セキュリティ研究者のGi7w0rm氏が、石油・ガス業界を装ったロシア語の文書を利用した攻撃を発見したことも報じている。
脆弱性の影響を回避する対策は?
Adobeは4月11日に対策版をリリースしている。具体的には、次のバージョンにアップデートすることで脆弱性の影響を回避できる。
- Acrobat DC バージョン26.001.21411
- Acrobat Reader DC バージョン26.001.21411
- Acrobat 2024 バージョン24.001.30362(Windows版)、バージョン24.001.30360(Mac版)
該当アプリの「ヘルプ」→「アップデートを確認」からアップデートを実施するか、または、Adobeの公式サイトからインストーラーをダウンロードして実施することでアップデートできる。Adobeは、攻撃の被害を受ける前に、早急にアップデートすることを推奨している。
セキュリティは転換期へ - 法制度変化とAI時代に東芝が実践するサイバーリスクマネジメント
