B
今週中
SumatraPDF 3.5.0から3.5.2において、アップデート確認時のTLSホスト名検証が不十分であり、ダウンロードしたインストーラーの署名検証も行われな…
📌 一言でいうと
SumatraPDF 3.5.0から3.5.2において、アップデート確認時のTLSホスト名検証が不十分であり、ダウンロードしたインストーラーの署名検証も行われない脆弱性が発見されました。ネットワーク上の攻撃者が偽のアップデート情報を送信することで、ユーザーに悪意のある実行ファイルを実行させ、リモートでコードを実行させる可能性があります。CVSSスコアは7.5(高)と評価されています。
🏢影響範囲
SumatraPDFを利用している全ての組織および個人ユーザー
✅該当時の対応
最新の修正済みバージョンへのアップデートを適用してください。また、信頼できないネットワーク環境でのソフトウェア更新を避けるようユーザーに周知してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】PDF閲覧ソフト「SumatraPDF」をご利用の方へ
お疲れさまです。情報システム担当です。
PDF閲覧ソフトの「SumatraPDF」において、偽の更新ファイルをインストールさせられる可能性がある脆弱性が報告されました。
ご協力をお願いしたいこと:
1. SumatraPDFを利用している方は、最新バージョンへのアップデートを行ってください。
2. 公式サイト以外からアップデートファイルをダウンロードしたり、不審な更新通知に従ったりしないでください。
対応期限: 今週中
お疲れさまです。情報システム担当です。
PDF閲覧ソフトの「SumatraPDF」において、偽の更新ファイルをインストールさせられる可能性がある脆弱性が報告されました。
ご協力をお願いしたいこと:
1. SumatraPDFを利用している方は、最新バージョンへのアップデートを行ってください。
2. 公式サイト以外からアップデートファイルをダウンロードしたり、不審な更新通知に従ったりしないでください。
対応期限: 今週中
Subject: [Security Alert] Important Update for SumatraPDF Users
Hi everyone,
A security vulnerability has been identified in the PDF viewer "SumatraPDF" that could allow attackers to trick users into installing malicious software via a fake update.
What we need you to do:
1. If you use SumatraPDF, please update the software to the latest version immediately.
2. Avoid downloading updates from unofficial sources or clicking on suspicious update prompts.
Deadline: By the end of this week
Hi everyone,
A security vulnerability has been identified in the PDF viewer "SumatraPDF" that could allow attackers to trick users into installing malicious software via a fake update.
What we need you to do:
1. If you use SumatraPDF, please update the software to the latest version immediately.
2. Avoid downloading updates from unofficial sources or clicking on suspicious update prompts.
Deadline: By the end of this week
件名: 【共有】SumatraPDF CVE-2026-25961 対応について
お疲れさまです。SumatraPDFの脆弱性に関する情報共有です。
■ 概要
SumatraPDF 3.5.0 - 3.5.2において、アップデート確認時のTLSホスト名検証の欠如およびダウンロードファイルの署名検証不備によるRCEの脆弱性が存在します(CVSS 7.5)。攻撃者がネットワーク経路を制御している場合、偽のインストーラーを配布させることが可能です。
■ 影響範囲
- 対象製品: SumatraPDF
- 対象バージョン: 3.5.0 - 3.5.2
■ 対応手順
1. 社内利用状況を確認し、対象バージョンがインストールされている端末を特定する。
2. 最新の修正済みバージョンへのアップデートを強制適用、またはユーザーに促す。
■ 参考情報
- Advisory: https://github.com/sumatrapdfreader/sumatrapdf/security/advisories/GHSA-xpm2-rr5m-x96q
対応優先度: 高
対応期限: 2026-05-07
お疲れさまです。SumatraPDFの脆弱性に関する情報共有です。
■ 概要
SumatraPDF 3.5.0 - 3.5.2において、アップデート確認時のTLSホスト名検証の欠如およびダウンロードファイルの署名検証不備によるRCEの脆弱性が存在します(CVSS 7.5)。攻撃者がネットワーク経路を制御している場合、偽のインストーラーを配布させることが可能です。
■ 影響範囲
- 対象製品: SumatraPDF
- 対象バージョン: 3.5.0 - 3.5.2
■ 対応手順
1. 社内利用状況を確認し、対象バージョンがインストールされている端末を特定する。
2. 最新の修正済みバージョンへのアップデートを強制適用、またはユーザーに促す。
■ 参考情報
- Advisory: https://github.com/sumatrapdfreader/sumatrapdf/security/advisories/GHSA-xpm2-rr5m-x96q
対応優先度: 高
対応期限: 2026-05-07
Subject: [Technical Alert] SumatraPDF CVE-2026-25961 Remediation
Dear Security Team,
This is a technical notification regarding a vulnerability in SumatraPDF.
■ Overview
SumatraPDF versions 3.5.0 to 3.5.2 are vulnerable to Remote Code Execution (CVE-2026-25961, CVSS 7.5). The application disables TLS hostname verification during update checks and fails to perform integrity/signature validation on the downloaded installer, allowing a MITM attacker to deliver a malicious payload.
■ Scope
- Product: SumatraPDF
- Affected Versions: 3.5.0 - 3.5.2
■ Remediation Steps
1. Identify all endpoints running the affected versions of SumatraPDF.
2. Deploy the latest patched version across the organization.
■ Reference
- Advisory: https://github.com/sumatrapdfreader/sumatrapdf/security/advisories/GHSA-xpm2-rr5m-x96q
Priority: High
Deadline: 2026-05-07
Dear Security Team,
This is a technical notification regarding a vulnerability in SumatraPDF.
■ Overview
SumatraPDF versions 3.5.0 to 3.5.2 are vulnerable to Remote Code Execution (CVE-2026-25961, CVSS 7.5). The application disables TLS hostname verification during update checks and fails to perform integrity/signature validation on the downloaded installer, allowing a MITM attacker to deliver a malicious payload.
■ Scope
- Product: SumatraPDF
- Affected Versions: 3.5.0 - 3.5.2
■ Remediation Steps
1. Identify all endpoints running the affected versions of SumatraPDF.
2. Deploy the latest patched version across the organization.
■ Reference
- Advisory: https://github.com/sumatrapdfreader/sumatrapdf/security/advisories/GHSA-xpm2-rr5m-x96q
Priority: High
Deadline: 2026-05-07