Trusted Design

CVE-2014-0546 の詳細

CVEの情報

説明:
Adobe Reader and Acrobat 10.x before 10.1.11 and 11.x before 11.0.08 on Windows allow attackers to bypass a sandbox protection mechanism, and consequently execute native code in a privileged context, via unspecified vectors.

CVE更新日: 2014-08-12 21:55:06.460000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2022-05-25

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.261860000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2014-0546の脆弱性について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2014-0546は、Adobe ReaderおよびAcrobatのWindows版に存在するサンドボックスバイパスの脆弱性です。この脆弱性により、攻撃者はサンドボックス保護メカニズムを迂回し、結果として昇格された権限でネイティブコードを実行する可能性があります。この脆弱性は、Kaspersky LabsのCostin Raiu氏とVitaly Kamluk氏によって報告されました。パッチがリリースされた時点で、限定的かつ標的型攻撃で悪用されていることが確認されていました。

1.1 影響

この脆弱性が悪用されると、攻撃者はサンドボックス保護を回避できます。その結果、特権的なコンテキストでネイティブコードを実行することが可能になります。機密性、完全性、可用性のすべてに高い影響を与える可能性があります。脆弱性が悪用された場合、脆弱なシステム上で任意のコードが実行される結果となります。

1.2 深刻度

  • CVSS v3.1 ベーススコア: 9.8 (Critical)
  • CVSS v3.1 ベクター: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • NVDでのCVSSスコアには、ユーザーインタラクションは不要とされています。ただし、一部の解説では、ユーザーが特別に細工されたファイルを開く必要があると説明されています。
  • Adobeの優先度評価: 1(最も高い優先度)
  • CISAの既知の悪用されている脆弱性カタログ(Known Exploited Vulnerabilities Catalog)に掲載されており、実際に悪用されていることが示されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性の影響を受けるのはWindowsプラットフォームです。AppleのOS X版のAdobe ReaderおよびAcrobatは影響を受けません。

影響を受けるソフトウェアバージョン: * Adobe Reader XI (11.0.07) およびそれ以前の11.xバージョン (Windows版) * Adobe Reader X (10.1.10) およびそれ以前の10.xバージョン (Windows版) * Adobe Acrobat XI (11.0.07) およびそれ以前の11.xバージョン (Windows版) * Adobe Acrobat X (10.1.10) およびそれ以前の10.xバージョン (Windows版)

具体的には、Adobe ReaderおよびAcrobat 10.x系では10.1.11より前のバージョン、11.x系では11.0.08より前のバージョンが影響を受けます。

2.2 影響を受ける設定

不明。 この脆弱性はサンドボックス保護メカニズム自体の迂回に関するものであり、特定のユーザー設定に依存するものではありません。攻撃はネットワーク経由で実行可能で、権限を必要としません。しかし、攻撃者が特別に細工されたPDFファイルを作成し、被害者がそれを開くように誘導することで、サンドボックスの制限を回避し、現在のユーザーの権限で任意のコードを実行できるとされています。

3. 影響を受けた時の兆候

直接的な兆候は不明です。この脆弱性は任意のコード実行につながるため、影響を受けた際の兆候は、攻撃者が実行するペイロード(マルウェアなど)によって異なります。

4. 推奨対策

4.1 本対策

  • セキュリティアップデートを適用してください。
  • Adobe ReaderおよびAcrobatを最新バージョンに更新することを強く推奨します。
    • Windows版のAdobe Reader XI (11.0.07以前) をバージョン 11.0.08 に更新。
    • Windows版のAdobe Reader X (10.1.10以前) をバージョン 10.1.11 に更新。
    • Windows版のAdobe Acrobat XI (11.0.07以前) をバージョン 11.0.08 に更新。
    • Windows版のAdobe Acrobat X (10.1.10以前) をバージョン 10.1.11 に更新。
  • これらのアップデートにより、サンドボックスバイパスの脆弱性が解決されます。
  • CISAもベンダーの指示に従ってアップデートを適用することを推奨しています。

4.2 暫定回避策(緩和策)

この脆弱性に対する具体的な暫定回避策は公開情報には明記されていません。最善かつ唯一の対策は、前述のセキュリティアップデートを速やかに適用することです。

その他

  • CVE公開日: 2014年8月12日 (NVDでは2014年8月13日)
  • Adobe Security Bulletin: APSB14-19
  • 弱点の種類 (CWE): CWE-20 (不適切な入力検証 - Improper Input Validation) または CWE-119 (バッファ境界外への操作 - Improper Limitation of a Pathname to a Restricted Directory (Path Traversal))、CWE-noinfo (情報不足) とも分類されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る