United States Computer Emergency Readiness Team (US-CERT)は8月11日(現地時間)、「Adobe Releases Security Updates|CISA」において、Adobeが提供しているAdobe AcrobatおよびAcrobat Reader、Adobe Lightroomに脆弱性が発見され、同社がセキュリティアップデートをリリースしたことを伝えた。これらの脆弱性を悪用されると、攻撃者によって任意のコードを実行されるなどの被害を受けるおそれがある。
今回報告された脆弱性に関する情報は、開発元による次のページにまとめられている。
- Security Updates Available for Adobe Acrobat and Reader | APSB20-48 - Adobe Security Bulletin
- Security Updates Available for Adobe Lightroom | APSB20-51 - Adobe Security Bulletin
AcrobatおよびAcrobat Readerについては、不正なメモリ領域に対する書き込みや、セキュリティ機能のバイパス、解放後のメモリの使用などを含む8件の脆弱性が報告されている。そのうち4件は重要度が「緊急(Critical)」であり、残り4件も「重要(Important)」に指定されている。これらの脆弱性を悪用されると、攻撃者による任意のコードの実行や権限外の情報の取得、権限の昇格、セキュリティ機能の回避などといった被害を受ける危険性があるとのこと。
脆弱性が含まれるプロダクトおよびバージョンは以下のとおりとなっている。いずれも、Windows版とmacOS版の両方が該当する。
- Acrobat DC / 2020.009.20074およびそれ以前
- Acrobat Reader DC / 2020.009.20074およびそれ以前
- Acrobat 2020 / 2020.001.30002
- Acrobat Reader / 2020.001.30002
- Acrobat 2017 / 2017.011.30175
- Acrobat Reader 2017 / 2017.011.30175
- Acrobat 2015 / 2015.006.30527
- Acrobat Reader 2015 / 2015.006.30527
Lightroomの脆弱性は、安全でないライブラリの読み込みに起因して、現在のユーザのコンテキストで許可されていない権限を取得されるおそれがあるというもの。重要度は"重要(Important)"に指定されている。この脆弱性が含まれるプロダクトおよびバージョンは次のとおりで、こちらはWindows版のみが該当する。
- Lightroom Classic / 9.2.0.10およびそれ以前