【セキュリティー】「Adobe Reader」の脆弱性を研究者が指摘–アドビはセキュリティアップデート公開

1: へっぽこ立て子@エリオット ★ 2019/02/13(水) 13:43:46.05 ID:CAP_USER

 「Adobe Reader」に影響する脆弱性が報告された。攻撃されるとハッシュ化されたパスワード値が盗まれる恐れがあるという。この脆弱性はもともと、米国時間1月26日にAlex Inführ氏が、PoCコードとともに公開していた。
InsertScript: Adobe Reader – PDF callback via XSLT stylesheet in XFA(英文)
https://insert-script.blogspot.com/2019/01/adobe-reader-pdf-callback-via-xslt.html

この脆弱性は、「CVE-2018-4993」との類似点が指摘されている。CVE-2018-4993は「BadPDF」とされるもので、2018年に対応済みだ。
NVD – CVE-2018-4993(英文)
https://nvd.nist.gov/vuln/detail/CVE-2018-4993
NTLM Credentials Theft via PDF Files – Check Point Research(英文)
https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/

0patchによると、Adobe Reader DCに存在する脆弱性によって、ドキュメントが開かれるとすぐにPDFファイルが自動的に脅威アクターのサーバにSMBリクエストを送ることが可能になるという。
0patch Blog: Sorry, Adobe Reader, We’re Not Letting You Phone Home Without User’s Consent (0day)(英文)
https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

これにより、リモートにいる攻撃者はSMBリクエストに含まれるユーザーのNTLMハッシュを盗むことが可能になる。「Phone Home」を利用することで、攻撃者はドキュメントが開かれた時に気づくことができるとともに、これらのハッシュ化されたパスワードの値を盗むことができる。

0patchのセキュリティ研究者によるとこの脆弱性は、CVE-2018-4993と「機能上は同じ」だが、場所が異なるという。

0patchによると、Adobe Reader DCの最新版であるバージョン2019.010.20069が影響を受けるほか、古いバージョンも同様に影響を受ける可能性があるという。

0patchによると、0patchがマイクロパッチを公開した翌日に、AdobeがAdobe Reader DCの新バージョンを公開している。0patchは、この問題が修正されたかどうかを確認できていないが、「CVE-2019-7089」が割り当てられたと述べ、Adobeのセキュリティアップデートの情報を示している。
情報のツイート(英文)
https://twitter.com/0patch/status/1095352821933838336
Adobe Security Bulletin(英文)
https://helpx.adobe.com/security/products/acrobat/apsb19-07.html
Adobeは12日、AcrobatとReaderのセキュリティアップデートを公開し、多数の脆弱性を修正している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/micropatch-released-for-adobe-reader-zero-day-vulnerability/

2019年02月13日 13時15分
CNET Japan
https://japan.zdnet.com/article/35132641/
https://twitter.com/5chan_nel (5ch newer account)

2: 名刺は切らしておりまして 2019/02/13(水) 13:49:55.54 ID:26RuMKNg
え~毎度お馴染み~、Adobeでございます♪

 

3: 名刺は切らしておりまして 2019/02/13(水) 13:53:24.38 ID:j4OQniSq
PDF開くたび前に開いてたPDFが一瞬うつるのなんとかしてくれませんかね

 

4: 名刺は切らしておりまして 2019/02/13(水) 13:55:54.06 ID:shHDI2jO
Adobe Reader は
なぜあんなに重いんだ?

 

12: 名刺は切らしておりまして 2019/02/16(土) 10:40:27.69 ID:g65UQU3y

>>4
重いか?
重いと感じたことねぇぞ

でもサクサクだ

 

5: 名刺は切らしておりまして 2019/02/13(水) 14:02:58.35 ID:8kjgGpBP
ブラウザ内蔵PDFビューワーで十分だよな
未だにAdobe Readerをインスコしてる男の人って・・・

 

15: 名刺は切らしておりまして 2019/02/16(土) 19:39:58.67 ID:4Aswdxvb
>>5
win7はadobe readerが必要

 

6: 名刺は切らしておりまして 2019/02/13(水) 14:08:03.65 ID:e8xSjPEZ
アドビって何回流出させたら気がすむんだ?

 

7: 名刺は切らしておりまして 2019/02/13(水) 15:51:42.28 ID:Ewd0Bgzs
なんでいつも脆弱なの

 

8: 名刺は切らしておりまして 2019/02/13(水) 16:17:29.01 ID:rdQAinWE
バージョン5.5くらいが軽くて良かった。

 

9: 名刺は切らしておりまして 2019/02/13(水) 20:02:04.70 ID:tAfxcxxR
未だにあどべ使ってる知恵遅れおるの?

 

10: 名刺は切らしておりまして 2019/02/13(水) 21:24:45.24 ID:mUm+q3Ws
PDFに変わるフォーマットが出てこないのが問題

 

11: 名刺は切らしておりまして 2019/02/15(金) 05:09:28.83 ID:o8UPR09y
ぜ、脆弱性

 

13: 名刺は切らしておりまして 2019/02/16(土) 10:42:25.04 ID:NlTWSZ/g
フリーソフトの軽量版ビューワとかあるから見るだけなら軽く出来るんだろうが、なぜやらない公式

 

14: 名刺は切らしておりまして 2019/02/16(土) 18:54:52.47 ID:g65UQU3y

AdobeアクロバットプロCC契約して使ってるが軽いぞ

重いとかって言ってるやつはパソコンのスペックがしょぼいんじゃねーの

 

17: 名刺は切らしておりまして 2019/02/17(日) 02:54:18.70 ID:3ORsRSSO

>>14
> AdobeアクロバットプロCC契約して使ってるが軽いぞ

なるほどそうゆうパターンか
無料は重いという

 

18: 名刺は切らしておりまして 2019/02/17(日) 22:57:37.52 ID:XN8IH6ce
>>17
リーダーも軽いぞ

 

16: 名刺は切らしておりまして 2019/02/17(日) 02:00:55.77 ID:kb1LDm/J
Adobe製品の脆弱性多すぎ

引用元

管理人からひと言

そんなに重要でもなさそうだ

 

[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

Adobe Illustrator CC (Creative Cloud) アド…
価格:36980円(税込、送料無料) (2019/2/19時点)

関連記事

  1. 【Androidスマホ】Google Play上のアンチウイルスアプリの3分の2はまともに動作してい…

  2. 【IT】最悪のパスワード2018年版、トップは安定の「123456」セキュリティ企業の調査

  3. Androidアプリ「ES File Explorer」が、バックグラウンドでWebサーバーを実行さ…

  4. ハッカーになりたいんやが、地道にプログラミング学べばええんか?

  5. 【ロシアVSマイクロソフト】マイクロソフト、ロシア系ハッカー阻止  ロシア系ハッカーは 米保守派団体…

  6. 【IT】Windowsコンピューター全般に及ぶ脆弱性が発見 [スプートニク]

  7. 情強「パスワードマネージャ使ってないやつはセキュリティ意識低すぎ!」→お漏らし

  8. 【IT】Microsoftが過去14年間・2億5000万件分のカスタマーサービスの記録をネット上に流…

  9. 【IT】ドコモ 500万件超の個人情報流出 元派遣社員が不正に持ち出し

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

新着記事

  1. ITやりたくないとすると楽な仕事って有名企業しかないよな
  2. 企業にAIを導入する手伝いをするAIコンサルタントで起業したい、どうしたら良いの…
  3. わい無能SES 22歳自分の単価を知り驚愕
  4. 【疑問】Z世代が絶望的にパソコンを使いこなせない理由……
  5. 昔のハイスペックパソコン、キモ過ぎるwwwww

ボンブの戯言

  1. 【ボンブの戯言】ITエンジニアは、なぜうつ病になるのか
  2. 【ボンブの戯言】サーバーって何なの(オンプレに限る)
  3. 【ボンブの戯言】ITエンジニアがフリーランスになる理由
  4. 【ボンブの戯言】フリーランスが払う税金など6選!私たちはこんなに支払っている!
  5. 【ボンブの戯言】フリーランスの実態調査をITエンジニアフリーランスの視点から見て…
PAGE TOP