Tenable ブログ
ブログ通知を受信するADV200004: マイクロソフト、Autodesk Filmbox(FBX)ライブラリの脆弱性に対処するための定例外アドバイザリをリリース
マイクロソフト、Autodesk の最近のセキュリティアドバイザリに対応し、Autodesk ライブラリを統合する「 Office」製品 の定例外のアドバイザリを公開
背景
4月15日、オートデスクは、「Autodesk FBX (FBX) Software Development Kit」の6件の脆弱性に対処するセキュリティアドバイザリ ADSK-SA-2020-0002 をリリースしました。「Autodesk FBX (FBX) Software Development Kit」を利用するとアプリケーションとコンテンツのベンダーは、最小限の労力で既存のコンテンツをFBX形式に転送できます。
FBX ライブラリが特定のバージョンの Microsoft Office、Office 365 ProPlus、および Paint 3D に統合されているため、Microsoft はオートデスクのアドバイザリに応えて、4月21日に定例外のアドバイザリ ADV200004 を発行しました。
分析
ADSK-SA-2020-0002では、オートデスクは、次の6つの脆弱性にパッチを適用しました。
CVE | 脆弱性 | 影響 | CVSSv3.x* |
---|---|---|---|
CVE-2020-7080 | バッファオーバーフロー | 任意のコード実行 | 7.8 |
CVE-2020-7081 | 型混乱 | 任意のコード実行、サービス拒否 | 該当なし |
CVE-2020-7082 | Use-After-Free | 任意のコード実行 | 該当なし |
CVE-2020-7083 | 整数オーバーフロー | サービス拒否 | 該当なし |
CVE-2020-7084 | Null Pointer Dereference | サービス拒否 | 5.5 |
CVE-2020-7085 | Heap Overflow | 任意のコード実行 | 7.8 |
*上記の表の CVSSv3.xスコアは、このブログ記事が公開された時点でのものであり、変更される可能性があります。
Though not all the vulnerabilities had CVSSv3.x scores assigned in their U.S. すべての脆弱性の CVSSv3.x スコアは、NVD (National Vulnerability Database)で割り当てられていませんが、オートデスクはアドバイザリで集合的に深刻度を「高」と評価しています。
これらの脆弱性を悪用するには、攻撃者は、FBX ライブラリの脆弱性を悪用する特殊な細工が施された3Dコンテンツを含む悪意のあるMicrosoft Office、Office 365 ProPlus、またはPaint 3D ファイルを開くようユーザーを誘導する必要があります。
概念実証
CVE-2020-7085を発見した F-Secure の研究者である Max Van Amerongen 氏は、、ヒープオーバーフローの脆弱性を悪用する攻撃を実証する概念実証ビデオをツイートしました。
My Autodesk FBX Heap Overflow (CVE-2020-7085) has now been disclosed at https://t.co/jvumWcCZE7
— maxpl0it (@maxpl0it) April 17, 2020
Works on FBX SDK < 2019.5
PoC video from disclosure: pic.twitter.com/vayCIomgaP
ソリューション
マイクロソフトのアドバイザリーによると、これらの脆弱性は次の製品で修正されています。
製品 | バージョン | ナレッジベース記事 |
---|---|---|
Microsoft Office 2016 | Click-to-Run 32-bit and 64-bit editions | Office 2016 C2R |
Microsoft Office 2019 | 32-bit and 64-bit editions | Office 2019 |
Office 365 ProPlus | 32-bit and 64-bit editions | Office 365 ProPlus |
Paint 3D | Paint 3D Release Notes |
ただし、このブログ投稿が公開された時点では、上記の記事に新しい更新はありません。これらの記事が最後に更新されたのは4月の月例更新プログラムのリリースされた日(4月14日)です。更新プログラムが定例外にリリースされるのか、5月の月例更新プログラムの一部としてリリースされるのかは不明です。
FBX はこれらのバージョンの「Office 」および「Paint 3D 」に含まれているライブラリです。マイクロソフトはこれらの脆弱性に対する定例外のアドバイザリをリリースしていますが、これらのパッチが利用可能になり次第、パッチを適用することを強くお勧めします。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
関連記事
- Vulnerability Management