【セキュリティー】「Adobe Reader」の脆弱性を研究者が指摘–アドビはセキュリティアップデート公開

1: へっぽこ立て子@エリオット ★ 2019/02/13(水) 13:43:46.05 ID:CAP_USER

 「Adobe Reader」に影響する脆弱性が報告された。攻撃されるとハッシュ化されたパスワード値が盗まれる恐れがあるという。この脆弱性はもともと、米国時間1月26日にAlex Inführ氏が、PoCコードとともに公開していた。
InsertScript: Adobe Reader – PDF callback via XSLT stylesheet in XFA(英文)
https://insert-script.blogspot.com/2019/01/adobe-reader-pdf-callback-via-xslt.html

この脆弱性は、「CVE-2018-4993」との類似点が指摘されている。CVE-2018-4993は「BadPDF」とされるもので、2018年に対応済みだ。
NVD – CVE-2018-4993(英文)
https://nvd.nist.gov/vuln/detail/CVE-2018-4993
NTLM Credentials Theft via PDF Files – Check Point Research(英文)
https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/

0patchによると、Adobe Reader DCに存在する脆弱性によって、ドキュメントが開かれるとすぐにPDFファイルが自動的に脅威アクターのサーバにSMBリクエストを送ることが可能になるという。
0patch Blog: Sorry, Adobe Reader, We’re Not Letting You Phone Home Without User’s Consent (0day)(英文)
https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

これにより、リモートにいる攻撃者はSMBリクエストに含まれるユーザーのNTLMハッシュを盗むことが可能になる。「Phone Home」を利用することで、攻撃者はドキュメントが開かれた時に気づくことができるとともに、これらのハッシュ化されたパスワードの値を盗むことができる。

0patchのセキュリティ研究者によるとこの脆弱性は、CVE-2018-4993と「機能上は同じ」だが、場所が異なるという。

0patchによると、Adobe Reader DCの最新版であるバージョン2019.010.20069が影響を受けるほか、古いバージョンも同様に影響を受ける可能性があるという。

0patchによると、0patchがマイクロパッチを公開した翌日に、AdobeがAdobe Reader DCの新バージョンを公開している。0patchは、この問題が修正されたかどうかを確認できていないが、「CVE-2019-7089」が割り当てられたと述べ、Adobeのセキュリティアップデートの情報を示している。
情報のツイート(英文)
https://twitter.com/0patch/status/1095352821933838336
Adobe Security Bulletin(英文)
https://helpx.adobe.com/security/products/acrobat/apsb19-07.html
Adobeは12日、AcrobatとReaderのセキュリティアップデートを公開し、多数の脆弱性を修正している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/micropatch-released-for-adobe-reader-zero-day-vulnerability/

2019年02月13日 13時15分
CNET Japan
https://japan.zdnet.com/article/35132641/
https://twitter.com/5chan_nel (5ch newer account)

2: 名刺は切らしておりまして 2019/02/13(水) 13:49:55.54 ID:26RuMKNg
え~毎度お馴染み~、Adobeでございます♪

 

3: 名刺は切らしておりまして 2019/02/13(水) 13:53:24.38 ID:j4OQniSq
PDF開くたび前に開いてたPDFが一瞬うつるのなんとかしてくれませんかね

 

4: 名刺は切らしておりまして 2019/02/13(水) 13:55:54.06 ID:shHDI2jO
Adobe Reader は
なぜあんなに重いんだ?

 

12: 名刺は切らしておりまして 2019/02/16(土) 10:40:27.69 ID:g65UQU3y

>>4
重いか?
重いと感じたことねぇぞ

でもサクサクだ

 

5: 名刺は切らしておりまして 2019/02/13(水) 14:02:58.35 ID:8kjgGpBP
ブラウザ内蔵PDFビューワーで十分だよな
未だにAdobe Readerをインスコしてる男の人って・・・

 

15: 名刺は切らしておりまして 2019/02/16(土) 19:39:58.67 ID:4Aswdxvb
>>5
win7はadobe readerが必要

 

6: 名刺は切らしておりまして 2019/02/13(水) 14:08:03.65 ID:e8xSjPEZ
アドビって何回流出させたら気がすむんだ?

 

7: 名刺は切らしておりまして 2019/02/13(水) 15:51:42.28 ID:Ewd0Bgzs
なんでいつも脆弱なの

 

8: 名刺は切らしておりまして 2019/02/13(水) 16:17:29.01 ID:rdQAinWE
バージョン5.5くらいが軽くて良かった。

 

9: 名刺は切らしておりまして 2019/02/13(水) 20:02:04.70 ID:tAfxcxxR
未だにあどべ使ってる知恵遅れおるの?

 

10: 名刺は切らしておりまして 2019/02/13(水) 21:24:45.24 ID:mUm+q3Ws
PDFに変わるフォーマットが出てこないのが問題

 

11: 名刺は切らしておりまして 2019/02/15(金) 05:09:28.83 ID:o8UPR09y
ぜ、脆弱性

 

13: 名刺は切らしておりまして 2019/02/16(土) 10:42:25.04 ID:NlTWSZ/g
フリーソフトの軽量版ビューワとかあるから見るだけなら軽く出来るんだろうが、なぜやらない公式

 

14: 名刺は切らしておりまして 2019/02/16(土) 18:54:52.47 ID:g65UQU3y

AdobeアクロバットプロCC契約して使ってるが軽いぞ

重いとかって言ってるやつはパソコンのスペックがしょぼいんじゃねーの

 

17: 名刺は切らしておりまして 2019/02/17(日) 02:54:18.70 ID:3ORsRSSO

>>14
> AdobeアクロバットプロCC契約して使ってるが軽いぞ

なるほどそうゆうパターンか
無料は重いという

 

18: 名刺は切らしておりまして 2019/02/17(日) 22:57:37.52 ID:XN8IH6ce
>>17
リーダーも軽いぞ

 

16: 名刺は切らしておりまして 2019/02/17(日) 02:00:55.77 ID:kb1LDm/J
Adobe製品の脆弱性多すぎ

引用元

管理人からひと言

そんなに重要でもなさそうだ

 

[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

Adobe Illustrator CC (Creative Cloud) アド…
価格:36980円(税込、送料無料) (2019/2/19時点)

関連記事

  1. 【iPhone】恐怖、サファリDos攻撃

  2. 【IT】日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで

  3. 2018年パスワードを正しく使用していないランキング発表。 1位はカニエ・ウェスト、2位は米国防総省…

  4. 【IT】Adobeがセキュリティアップデートを予告

  5. 【国際】世界最大のホテルチェーンで個人情報流出か 最大5億人分

  6. 【IT】アップルCEO、欧州の新規制は「iPhone」のセキュリティーを壊すと主張

  7. 【IT】脆弱性が多いプログラミング言語、第2位はPHP – 第1位は?

  8. 中国のハッキング用チップ、米通信大手のネットワークでも発見 ネット「確実に日本のコンピュータ等にも入…

  9. 【IT】消費者の41%が音声アシスタントのプライバシーに不安、マイクロソフト調査

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

新着記事

  1. 【速報】MacBookやiPhoneのCPUに致命的な脆弱性 safariでWE…
  2. 【デジタル庁】政府クラウド、提供事業者に「さくらインターネット」を選定…初の日本…
  3. 「Google ドライブ」デスクトップ版の“同期の問題”で一部ユーザーは半年分デ…
  4. JAXAにサイバー攻撃か、宇宙開発の「機微」閲覧の恐れ…警察から連絡受けるまで気…
  5. 20代に通じなくてショックを受けた「死語」の数々…「ソニプラ」「エビちゃんOL」…

ボンブの戯言

  1. 【ボンブの戯言】はじめました。
  2. 【ボンブの戯言】ITエンジニアがフリーランスになるときに考える・準備すること
  3. 【ボンブの戯言】ITエンジニアがフリーランスになる理由
  4. 【ボンブの戯言】フリーランスが払う税金など6選!私たちはこんなに支払っている!
  5. 【ボンブの戯言】ITエンジニアが徹夜してでも間に合わせる理由
PAGE TOP