アドビ、「Acrobat」関連製品の脆弱性を修正

　Adobe Systemsは米国時間8月9日、「Adobe Acrobat」関連製品の脆弱性を修正するセキュリティアップデートをリリースした。同社のセキュリティアドバイザリによると、影響を受ける製品は「Acrobat DC」（連続トラックおよびクラシックトラック）と「Acrobat Reader DC」（連続トラックおよびクラシックトラック）、「Acrobat 2017」「Acrobat Reader 2017」「Acrobat XI」「Reader XI」だという（いずれの製品も「Windows」向けと「macOS」（OS X）向け）。

　これら脆弱性のなかには、遠隔地から任意のコード実行を許すものも含まれている。

　Cisco Talosの研究者であるAleksandar Nikolic氏がAcrobat Reader DC内で発見した「TALOS-2017-0361」（CVE-2017-11263）という脆弱性は、PDF文書内でフォームの入力を可能にする「Acroform」と呼ばれる機能が使用する、入力情報をデータとして構築するためのソフトウェアコンポーネント内に存在している。

　細工を施したPDFドキュメントによってこの脆弱性を悪用することで、解析コンポーネントが意図しない状態に遷移し、プロセス内のメモリに対するアクセスや上書きが可能になる結果、任意のコードを実行されるおそれがあるという。

　攻撃者は、悪意のあるファイルをオープンさせたり、悪意のあるウェブページにアクセスするよう仕向けることでこの脆弱性を利用できる。

　Adobeはこの脆弱性に対処するソフトウェアアップデートのほかにも、緊急度が「クリティカル」と「重要」に分類され、「影響を受けるシステムの制御を攻撃者に引き渡す可能性がある」複数の脆弱性に対処するソフトウェアアップデートもリリースしている。