セキュリティ

SECURITY

公開：2024-12-22

【CVE-2024-49535】Adobe Acrobat Readerに深刻なXXE脆弱性、任意のコード実行のリスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Adobe Acrobat Readerに深刻なXXE脆弱性が発見
• 悪意のあるXML入力により任意のコード実行の可能性
• CVE-2024-49535として識別され対応が必要

Adobe Acrobat ReaderのXXE脆弱性について

Adobe社は2024年12月10日、Acrobat Readerの複数のバージョンにおいてXML外部エンティティ参照の制限が不適切な脆弱性が発見されたことを公開した。この脆弱性はCVE-2024-49535として識別されており、攻撃者が悪意のあるXML入力を提供することで任意のコード実行やデータ漏洩につながる可能性がある。^[1]

影響を受けるバージョンは24.005.20307、24.001.30213、24.001.30193、20.005.30730、20.005.30710およびそれ以前のバージョンとなっている。攻撃の成功には被害者が悪意のあるXMLドキュメントを処理する必要があり、ユーザーの操作が必要となるものの、深刻度はCVSS v3.1で6.3（中程度）と評価されている。

この脆弱性はCWE-611（XML外部エンティティ参照の不適切な制限）に分類されており、CVSSベクトルはAV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:Nと評価されている。攻撃は物理的なアクセスを必要とし、攻撃の複雑さは低いが、特権は不要でユーザーの関与が必要となるものだ。

Acrobat Reader脆弱性の影響範囲まとめ

Adobe Security Bulletinの詳細はこちら

XML外部エンティティ参照（XXE）について

XML外部エンティティ参照（XXE）とは、XMLの機能の一つで、外部リソースを参照できる仕組みのことを指す。主な特徴として、以下のような点が挙げられる。

• 外部ファイルやリソースの読み込みが可能
• システム内のファイル読み取りに悪用される可能性
• サービス拒否攻撃やデータ漏洩のリスクがある

XXE脆弱性は、XMLパーサーが外部エンティティの解決を制限なく許可することで発生する深刻な問題となっている。Acrobat Readerの場合、悪意のあるXMLドキュメントを処理する際に外部エンティティ参照の制限が不適切であることが判明し、攻撃者による任意のコード実行やデータ漏洩のリスクが指摘されているのだ。

Adobe Acrobat ReaderのXXE脆弱性に関する考察

今回発見されたXXE脆弱性は、PDFファイルの普及度を考えると潜在的な影響範囲が非常に広いと考えられる。XMLパーサーのセキュリティ設定を適切に行うことで防げる脆弱性であるため、他のPDF関連ソフトウェアでも同様の問題が存在していないか、包括的な検証が必要になるだろう。

今後の課題として、XMLパーサーのセキュリティ設定の自動検証ツールの開発や、開発者向けのセキュアコーディングガイドラインの整備が重要になってくる。特にPDFのような広く普及したファイル形式を扱うソフトウェアでは、セキュリティチェックの自動化と定期的な脆弱性診断の実施が不可欠だろう。

将来的には、XXE対策を標準で実装したXMLパーサーライブラリの開発や、セキュリティ設定の統一的なフレームワークの整備が期待される。Adobe社には継続的なセキュリティアップデートの提供と、脆弱性情報の透明性の高い公開を期待したい。

参考サイト

1. ^ CVE. 「CVE-2024-49535 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49535, (参照 24-12-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧