Autodesk社の「FBX-SDK」に任意コード実行の脆弱性、「Office」「Paint 3D」にも影響

Autodeskが公開したセキュリティアドバイザリ

　米Autodeskは4月15日（現地時間、以下同）、「Autodesk FBX Software Development Kit」（FBX-SDK）に複数の脆弱性が存在することを明らかにした。「Microsoft Office」や「Paint 3D」も脆弱性を受けるとして、米Microsoftは21日付けでセキュリティ更新プログラムのリリースを発表している。

　Autodeskが公開したセキュリティアドバイザリによると、v2020.0およびそれ以前のバージョンの「FBX-SDK」にはCVE番号ベースで6件の脆弱性が存在し、バッファオーバーフローによりFBXファイルを開くだけで任意のコードが実行されるなどの問題を引き起こす可能性がある。脆弱性の深刻度は4段階中上から2番目の“High”。以下の製品が影響を受けるとして、最新版へのアップデートが推奨されている。

• 「FBX-SDK 2019.5」およびそれ以前のバージョン：2020への更新を
• 「Maya 2019」およびそれ以前のバージョン：2020への更新を
• 「Motion Builder 2019」およびそれ以前のバージョン：2020への更新を
• 「Mudbox 2019」およびそれ以前のバージョン：2020への更新を
• 「3ds Max 2020」およびそれ以前のバージョン：2021への更新を
• 「Fusion ATF 8およびそれ以前のバージョン、ATF 9への更新を
• 「Revit 2020」およびそれ以前のバージョン：2021への更新を
• 「Flame 2019」およびそれ以前のバージョン：2020.2への更新を
• 「Infraworks 2020」およびそれ以前のバージョン：2021への更新を
• 「Navisworks 2019 Update 4」およびそれ以前のバージョン：2019 Update 5または2020 Update 2、2021への更新を
• 「Autodesk AutoCAD 2019」およびそれ以前のバージョン：2019.5への更新を（2020は「FBX-SDK」が削除されており、影響を受けない

　一方、Microsoft製品で本脆弱性の影響を受ける製品は以下の通り。

• 32bit版「Microsoft Office 2016 Click-to-Run（C2R）」
• 64bit版「Microsoft Office 2016 Click-to-Run（C2R）」
• 32bit版「Microsoft Office 2019」
• 64bit版「Microsoft Office 2019 」
• 32bit版「Office 365 ProPlus」
• 64bit版「Office 365 ProPlus」
• 「Paint 3D」

　セキュリティ更新プログラムはまだ公開されていないようだが、近日中には利用できるようになる見込み。それまでは、不審な3Dファイル（.fbx）を受信しても開かないように注意したい。

Microsoftが公開したセキュリティアドバイザリ