ADV200004: マイクロソフト、Autodesk Filmbox（FBX）ライブラリの脆弱性に対処するための定例外アドバイザリをリリース

マイクロソフト、Autodesk の最近のセキュリティアドバイザリに対応し、Autodesk ライブラリを統合する「 Office」製品 の定例外のアドバイザリを公開

背景

4月15日、オートデスクは、「Autodesk FBX (FBX) Software Development Kit」の6件の脆弱性に対処するセキュリティアドバイザリ ADSK-SA-2020-0002 をリリースしました。「Autodesk FBX (FBX) Software Development Kit」を利用するとアプリケーションとコンテンツのベンダーは、最小限の労力で既存のコンテンツをFBX形式に転送できます。

FBX ライブラリが特定のバージョンの Microsoft Office、Office 365 ProPlus、および Paint 3D に統合されているため、Microsoft はオートデスクのアドバイザリに応えて、4月21日に定例外のアドバイザリ ADV200004 を発行しました。

分析

ADSK-SA-2020-0002では、オートデスクは、次の6つの脆弱性にパッチを適用しました。

*上記の表の CVSSv3.xスコアは、このブログ記事が公開された時点でのものであり、変更される可能性があります。

Though not all the vulnerabilities had CVSSv3.x scores assigned in their U.S. すべての脆弱性の CVSSv3.x スコアは、NVD (National Vulnerability Database)で割り当てられていませんが、オートデスクはアドバイザリで集合的に深刻度を「高」と評価しています。

これらの脆弱性を悪用するには、攻撃者は、FBX ライブラリの脆弱性を悪用する特殊な細工が施された3Dコンテンツを含む悪意のあるMicrosoft Office、Office 365 ProPlus、またはPaint 3D ファイルを開くようユーザーを誘導する必要があります。

概念実証

CVE-2020-7085を発見した F-Secure の研究者である Max Van Amerongen 氏は、、ヒープオーバーフローの脆弱性を悪用する攻撃を実証する概念実証ビデオをツイートしました。

My Autodesk FBX Heap Overflow (CVE-2020-7085) has now been disclosed at https://t.co/jvumWcCZE7

Works on FBX SDK < 2019.5

PoC video from disclosure: pic.twitter.com/vayCIomgaP

— maxpl0it (@maxpl0it) April 17, 2020

ソリューション

マイクロソフトのアドバイザリーによると、これらの脆弱性は次の製品で修正されています。

ただし、このブログ投稿が公開された時点では、上記の記事に新しい更新はありません。これらの記事が最後に更新されたのは4月の月例更新プログラムのリリースされた日（4月14日）です。更新プログラムが定例外にリリースされるのか、5月の月例更新プログラムの一部としてリリースされるのかは不明です。

FBX はこれらのバージョンの「Office 」および「Paint 3D 」に含まれているライブラリです。マイクロソフトはこれらの脆弱性に対する定例外のアドバイザリをリリースしていますが、これらのパッチが利用可能になり次第、パッチを適用することを強くお勧めします。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報

• オートデスクアドバイザリ(ADSK-SA-2020-0002)
• マイクロソフトの定例外のアドバイザリ (ADV200004)

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。