こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
IPAとJPCERT/CCは、アドビがAdobe AcrobatおよびAdobe Acrobat Readerにおける脆弱性に関する情報(APSB23-34)を公開したことを受け、注意喚起を発表している。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Adobe製品に脆弱性が発見されています。ご利用中の方は修正プログラムの適用を検討してください。発見された脆弱性の内容と、脆弱性が悪用された場合、どのような被害が発生する可能性があるかについて説明します。
今回の脆弱性は、Adobe AcrobatおよびAdobe Acrobat Readerに境界外書き込みの脆弱性が存在するというものです。影響を受けるシステムは、Adobe AcrobatおよびAdobe Acrobat Readerで、多くのバージョンが該当します。詳細はアドビの公式サイト、もしくは「APSB23-34」で検索してみてください。影響として、脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意のコードが実行されるなどの可能性があります。なお、アドビは同脆弱性を悪用する限定的な攻撃を確認しているということです。
深刻度を表すCVSSv3の基本値は7.8で、2番目に高い「重要」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-26369」で検索してみてください。
今回、発見されたのは境界外書き込みの脆弱性です。境界外書き込みとは、Out-of-Bounds Writeとも呼ばれている、定められたバッファ領域を超えてデータを書き込む脆弱性です。脆弱性が悪用されると、データの破損やクラッシュ、悪意のあるコード実行などの動作を引き起こす可能性があるとされています。
例えば、みなさんがコップを持っていたとします。そこに水を注いでいくと、コップが水で満たされ、そのまま要領を超えると、水があふれていきます。水をデータ、コップをメモリに置き換えると、境界外書き込みの脆弱性も同じような状況であると言うことができます。まず、プログラムでは、データを入れるメモリの領域を、あらかじめ定義することができます。コップの容量が、あらかじめ決まっている状態です。
プログラムに何ら制限を設けていない場合、あらかじめ確保されたメモリ以上のデータは、あふれてしまうことになります。コップから水があふれている状態です。コップの容量が決まっていて、そこから水があふれることが、プログラムのデータとメモリで発生することを、境界外書き込みの脆弱性があると言うことができます。
脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意のコードが実行されるということです。
先ほどのコップと水の例えを使って脆弱性が悪用される影響について解説します。コップから水があふれた場合、テーブルが水浸しになってしまって、拭かないといけなくなったり、近くに書類があった場合は文字が読み取れなくなってしまう可能性があります。この状態が境界外書き込みの脆弱性が悪用されたのと同じような状況であると言うことができます。
コップからあふれた水が、近くにある書類を読み取れなくしてしまうように、メモリからあふれたデータは、別のメモリを上書きしてしまうことがあります。水浸しの書類を読もうとした際に、別の文字と誤認してしまうように、あふれたデータで上書きされたメモリが、別のプログラムで呼び出された際に、別のコードが実行されてしまう可能性があります。これができる状態を、任意のコードが実行される可能性があると言うことができます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
