Cisco Talos は先日、Adobe Acrobat Reader でリモートコード実行の脆弱性を 2 件発見しました。Acrobat では、組み込みの JavaScript を処理する機能をはじめ、さまざまな機能がサポートされています。今回の脆弱性は、Acrobat Reader がイベントハンドラ内から注釈を削除する際の処理方法に存在します。悪意のあるファイルや Web ページをユーザが開くと、これらの脆弱性がトリガーされる恐れがあります。侵入されたマシンでは、攻撃者に任意コードを実行される危険性があります。
Cisco Talos は情報開示方針に従って Adobe 社と協力し、今回の脆弱性が解決済みであり、影響を受けた利用者向けにアップデートが利用可能であることを確認しています。
脆弱性の詳細
Adobe Acrobat Reader DC の注釈削除方法に起因する、リモートコード実行の脆弱性(TALOS-2020-1028/CVE-2020-9607)
特定の JavaScript コードが埋め込まれた PDF ドキュメントを Adobe Acrobat Reader DC 2020.006.20034 で開くと、ヒープ破壊を引き起こされる可能性があります。これにより攻撃者がメモリを操作し、任意コードを実行できる危険性があります。この脆弱性は、ユーザが悪意のあるファイルを開くか、悪意のある Web ページにアクセスするとトリガーされます。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Adobe Acrobat Reader DC の JavaScript submitForm 関数に起因する、リモートコード実行の脆弱性(TALOS-2020-1031/CVE-2020-9609)
特定の JavaScript コードが埋め込まれた PDF ドキュメントを Adobe Acrobat Reader DC 2020.006.20034 で開くと、領域外メモリ(out of bounds memory)にアクセスされる危険性があります。巧妙なメモリ操作によって機密情報の漏えいや、任意コードを実行できるメモリ破損を引き起こされる可能性があります。この脆弱性は、ユーザが悪意のあるファイルを開くか、悪意のある Web ページにアクセスするとトリガーされます。
脆弱性のアドバイザリ全文はこちらをご覧ください。
脆弱性が確認されたバージョン
今回の脆弱性は Adobe Acrobat Reader DC バージョン 2020.006.20034 が影響を受けることを Talos で検証、確認しています。
カバレッジ
脆弱性のエクスプロイトは、以下の SNORTⓇ ルールで検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
本稿は 2020年5月12日に Talos Group のブログに投稿された「Vulnerability Spotlight: Remote code execution vulnerabilities in Adobe Acrobat Reader」の抄訳です。