【セキュリティー】「Adobe Reader」の脆弱性を研究者が指摘–アドビはセキュリティアップデート公開

1: へっぽこ立て子@エリオット ★ 2019/02/13(水) 13:43:46.05 ID:CAP_USER

 「Adobe Reader」に影響する脆弱性が報告された。攻撃されるとハッシュ化されたパスワード値が盗まれる恐れがあるという。この脆弱性はもともと、米国時間1月26日にAlex Inführ氏が、PoCコードとともに公開していた。
InsertScript: Adobe Reader – PDF callback via XSLT stylesheet in XFA(英文)
https://insert-script.blogspot.com/2019/01/adobe-reader-pdf-callback-via-xslt.html

この脆弱性は、「CVE-2018-4993」との類似点が指摘されている。CVE-2018-4993は「BadPDF」とされるもので、2018年に対応済みだ。
NVD – CVE-2018-4993(英文)
https://nvd.nist.gov/vuln/detail/CVE-2018-4993
NTLM Credentials Theft via PDF Files – Check Point Research(英文)
https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/

0patchによると、Adobe Reader DCに存在する脆弱性によって、ドキュメントが開かれるとすぐにPDFファイルが自動的に脅威アクターのサーバにSMBリクエストを送ることが可能になるという。
0patch Blog: Sorry, Adobe Reader, We’re Not Letting You Phone Home Without User’s Consent (0day)(英文)
https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

これにより、リモートにいる攻撃者はSMBリクエストに含まれるユーザーのNTLMハッシュを盗むことが可能になる。「Phone Home」を利用することで、攻撃者はドキュメントが開かれた時に気づくことができるとともに、これらのハッシュ化されたパスワードの値を盗むことができる。

0patchのセキュリティ研究者によるとこの脆弱性は、CVE-2018-4993と「機能上は同じ」だが、場所が異なるという。

0patchによると、Adobe Reader DCの最新版であるバージョン2019.010.20069が影響を受けるほか、古いバージョンも同様に影響を受ける可能性があるという。

0patchによると、0patchがマイクロパッチを公開した翌日に、AdobeがAdobe Reader DCの新バージョンを公開している。0patchは、この問題が修正されたかどうかを確認できていないが、「CVE-2019-7089」が割り当てられたと述べ、Adobeのセキュリティアップデートの情報を示している。
情報のツイート(英文)
https://twitter.com/0patch/status/1095352821933838336
Adobe Security Bulletin(英文)
https://helpx.adobe.com/security/products/acrobat/apsb19-07.html
Adobeは12日、AcrobatとReaderのセキュリティアップデートを公開し、多数の脆弱性を修正している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/micropatch-released-for-adobe-reader-zero-day-vulnerability/

2019年02月13日 13時15分
CNET Japan
https://japan.zdnet.com/article/35132641/
https://twitter.com/5chan_nel (5ch newer account)

2: 名刺は切らしておりまして 2019/02/13(水) 13:49:55.54 ID:26RuMKNg
え~毎度お馴染み~、Adobeでございます♪

 

3: 名刺は切らしておりまして 2019/02/13(水) 13:53:24.38 ID:j4OQniSq
PDF開くたび前に開いてたPDFが一瞬うつるのなんとかしてくれませんかね

 

4: 名刺は切らしておりまして 2019/02/13(水) 13:55:54.06 ID:shHDI2jO
Adobe Reader は
なぜあんなに重いんだ?

 

12: 名刺は切らしておりまして 2019/02/16(土) 10:40:27.69 ID:g65UQU3y

>>4
重いか?
重いと感じたことねぇぞ

でもサクサクだ

 

5: 名刺は切らしておりまして 2019/02/13(水) 14:02:58.35 ID:8kjgGpBP
ブラウザ内蔵PDFビューワーで十分だよな
未だにAdobe Readerをインスコしてる男の人って・・・

 

15: 名刺は切らしておりまして 2019/02/16(土) 19:39:58.67 ID:4Aswdxvb
>>5
win7はadobe readerが必要

 

6: 名刺は切らしておりまして 2019/02/13(水) 14:08:03.65 ID:e8xSjPEZ
アドビって何回流出させたら気がすむんだ?

 

7: 名刺は切らしておりまして 2019/02/13(水) 15:51:42.28 ID:Ewd0Bgzs
なんでいつも脆弱なの

 

8: 名刺は切らしておりまして 2019/02/13(水) 16:17:29.01 ID:rdQAinWE
バージョン5.5くらいが軽くて良かった。

 

9: 名刺は切らしておりまして 2019/02/13(水) 20:02:04.70 ID:tAfxcxxR
未だにあどべ使ってる知恵遅れおるの?

 

10: 名刺は切らしておりまして 2019/02/13(水) 21:24:45.24 ID:mUm+q3Ws
PDFに変わるフォーマットが出てこないのが問題

 

11: 名刺は切らしておりまして 2019/02/15(金) 05:09:28.83 ID:o8UPR09y
ぜ、脆弱性

 

13: 名刺は切らしておりまして 2019/02/16(土) 10:42:25.04 ID:NlTWSZ/g
フリーソフトの軽量版ビューワとかあるから見るだけなら軽く出来るんだろうが、なぜやらない公式

 

14: 名刺は切らしておりまして 2019/02/16(土) 18:54:52.47 ID:g65UQU3y

AdobeアクロバットプロCC契約して使ってるが軽いぞ

重いとかって言ってるやつはパソコンのスペックがしょぼいんじゃねーの

 

17: 名刺は切らしておりまして 2019/02/17(日) 02:54:18.70 ID:3ORsRSSO

>>14
> AdobeアクロバットプロCC契約して使ってるが軽いぞ

なるほどそうゆうパターンか
無料は重いという

 

18: 名刺は切らしておりまして 2019/02/17(日) 22:57:37.52 ID:XN8IH6ce
>>17
リーダーも軽いぞ

 

16: 名刺は切らしておりまして 2019/02/17(日) 02:00:55.77 ID:kb1LDm/J
Adobe製品の脆弱性多すぎ

引用元

管理人からひと言

そんなに重要でもなさそうだ

 

[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

Adobe Illustrator CC (Creative Cloud) アド…
価格:36980円(税込、送料無料) (2019/2/19時点)

関連記事

  1. 【セキュリティー】パスワードなくします ヤフー、スマホに指紋でログイン

  2. カテゴリ_security

    iPhoneなら電車の中で猥褻画像を送くれる。そうiPhoneならね。AirDropで見知らぬ女性に…

  3. フェイスブック 個人情報流出 被害者に直接通知する予定 震えて待て

  4. パソコンにWindowsdefender以外のセキュリティソフト入れてるアホwwwwww

  5. カテゴリ_security

    【IT】米アップル元社員、機密窃盗で起訴 中国企業へ転職予定

  6. 【企業】富士通、サイバー攻撃対策に不備 総務省が行政指導

  7. マルカワみそに不正アクセス クレカ情報流出

  8. 【IT】「マリオット」顧客情報流出 2550万人分のパスポート番号も

  9. 【スマホ】Androidマルウエア感染、iOSの最大47倍 Apple報告

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

新着記事

  1. 閉鎖のお知らせ
  2. SES社長だけど質問ある?
  3. windowsにAI搭載するとか言ってるけどさぁ
  4. 新卒エンジニア僕、資格勉強する気が起きない
  5. 文系学部卒一般企業志望の君の進路はここから選んでもらうぞ!→ 営業・販売・未経験…

ボンブの戯言

  1. 【ボンブの戯言】はじめました。
  2. 【ボンブの戯言】フリーランスが払う税金など6選!私たちはこんなに支払っている!
  3. 【ボンブの戯言】ITエンジニアは、なぜうつ病になるのか
  4. 【ボンブの戯言】サーバーって何なの(オンプレに限る)
  5. 【ボンブの戯言】フリーランスのメリットを全否定してみた
PAGE TOP