ADV200004: マイクロソフト、Autodesk Filmbox(FBX)ライブラリの脆弱性に対処するための定例外アドバイザリをリリース
マイクロソフト、Autodesk の最近のセキュリティアドバイザリに対応し、Autodesk ライブラリを統合する「 Office」製品 の定例外のアドバイザリを公開
背景
4月15日、オートデスクは、「Autodesk FBX (FBX) Software Development Kit」の6件の脆弱性に対処するセキュリティアドバイザリ ADSK-SA-2020-0002 をリリースしました。「Autodesk FBX (FBX) Software Development Kit」を利用するとアプリケーションとコンテンツのベンダーは、最小限の労力で既存のコンテンツをFBX形式に転送できます。
FBX ライブラリが特定のバージョンの Microsoft Office、Office 365 ProPlus、および Paint 3D に統合されているため、Microsoft はオートデスクのアドバイザリに応えて、4月21日に定例外のアドバイザリ ADV200004 を発行しました。
分析
ADSK-SA-2020-0002では、オートデスクは、次の6つの脆弱性にパッチを適用しました。
| CVE | 脆弱性 | 影響 | CVSSv3.x* |
|---|---|---|---|
| CVE-2020-7080 | バッファオーバーフロー | 任意のコード実行 | 7.8 |
| CVE-2020-7081 | 型混乱 | 任意のコード実行、サービス拒否 | 該当なし |
| CVE-2020-7082 | Use-After-Free | 任意のコード実行 | 該当なし |
| CVE-2020-7083 | 整数オーバーフロー | サービス拒否 | 該当なし |
| CVE-2020-7084 | Null Pointer Dereference | サービス拒否 | 5.5 |
| CVE-2020-7085 | Heap Overflow | 任意のコード実行 | 7.8 |
*上記の表の CVSSv3.xスコアは、このブログ記事が公開された時点でのものであり、変更される可能性があります。
Though not all the vulnerabilities had CVSSv3.x scores assigned in their U.S. すべての脆弱性の CVSSv3.x スコアは、NVD (National Vulnerability Database)で割り当てられていませんが、オートデスクはアドバイザリで集合的に深刻度を「高」と評価しています。
これらの脆弱性を悪用するには、攻撃者は、FBX ライブラリの脆弱性を悪用する特殊な細工が施された3Dコンテンツを含む悪意のあるMicrosoft Office、Office 365 ProPlus、またはPaint 3D ファイルを開くようユーザーを誘導する必要があります。
概念実証
CVE-2020-7085を発見した F-Secure の研究者である Max Van Amerongen 氏は、、ヒープオーバーフローの脆弱性を悪用する攻撃を実証する概念実証ビデオをツイートしました。
My Autodesk FBX Heap Overflow (CVE-2020-7085) has now been disclosed at https://t.co/jvumWcCZE7
— maxpl0it (@maxpl0it) April 17, 2020
Works on FBX SDK < 2019.5
PoC video from disclosure: pic.twitter.com/vayCIomgaP
ソリューション
マイクロソフトのアドバイザリーによると、これらの脆弱性は次の製品で修正されています。
| 製品 | バージョン | ナレッジベース記事 |
|---|---|---|
| Microsoft Office 2016 | Click-to-Run 32-bit and 64-bit editions | Office 2016 C2R |
| Microsoft Office 2019 | 32-bit and 64-bit editions | Office 2019 |
| Office 365 ProPlus | 32-bit and 64-bit editions | Office 365 ProPlus |
| Paint 3D | Paint 3D Release Notes |
ただし、このブログ投稿が公開された時点では、上記の記事に新しい更新はありません。これらの記事が最後に更新されたのは4月の月例更新プログラムのリリースされた日(4月14日)です。更新プログラムが定例外にリリースされるのか、5月の月例更新プログラムの一部としてリリースされるのかは不明です。
FBX はこれらのバージョンの「Office 」および「Paint 3D 」に含まれているライブラリです。マイクロソフトはこれらの脆弱性に対する定例外のアドバイザリをリリースしていますが、これらのパッチが利用可能になり次第、パッチを適用することを強くお勧めします。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。
関連記事
Narrowing the Focus: Enhancements to Tenable VPR and How It Compares to Other Prioritization Models
Tenable is releasing a number of enhancements to the Vulnerability Priority Rating (VPR), including enriched threat intelligence, AI-driven insights and explainability, and contextual metadata. Learn how the improved prioritization effectiveness of the enhanced VPR compares to other common prioritiz...
Forrester Names Tenable a Leader in the Q3 2025 Unified Vulnerability Management Solutions Wave™ Report
“Tenable continues to extend its established vulnerability management offerings into exposure management with its Tenable One platform,” according to the report....
CVE-2025-53770: Frequently Asked Questions About Zero-Day SharePoint Vulnerability Exploitation
Successful exploitation of CVE-2025-53770 could expose MachineKey configuration details from a vulnerable SharePoint Server, ultimately enabling unauthenticated remote code execution....
- Vulnerability Management