セキュリティ研究者が、Adobe Acrobat Readerソフトウェアにルート権限のアクセスを許す可能性のある3つのセキュリティ上の欠陥を発見しました。しかし、朗報もあります。
Tencentに勤務するセキュリティ研究者のYuebin Sun氏は、Adobe Acrobat ReaderにMacでルート権限を奪取できる3つのセキュリティ上の欠陥を発見しました。このアクセスにより、悪意のある攻撃者がマシン上の機密データにアクセスできるようになる可能性があるため、Adobe Acrobat Readerのユーザーは直ちにアップデートを行うことが重要です。幸いなことに、Adobeはすでにこれらのセキュリティ上の欠陥を修正したAcrobat Readerのアップデートを実施しています。
お使いのマシンにソフトウェアがインストールされている場合は、バージョン2020.009.20063以降が実行されていることを確認してください。ソフトウェアのアップデートチェックを実行するには、アプリを開き、「ヘルプ」→「アップデートを確認」を選択してください。
以下は Sun がまとめた要約です。
本日、macOS版Adobe Acrobat Reader DCに、私が報告した3つの重大な脆弱性(CVE-2020-9615、CVE-2020-9614、CVE-2020-9613)が修正されました。これらの脆弱性を悪用するには、Adobe Acrobat Reader DCがインストールされている必要があります。macOSのSIPが有効になっている一般ユーザーは、これらの脆弱性をローカルで悪用することで、ユーザーに気付かれることなく権限をルート権限に昇格することができます。このブログでは、これらの脆弱性の詳細を分析し、その悪用方法を説明します。
セキュリティ研究者による完全なレポートは、こちらで読むことができます。
また、この件に関する Adobe のセキュリティ情報もここで確認できます。
Adobe Acrobat Reader がインストールされている場合は、すぐに更新してください。
