ニュース

「Adobe Creative Cloud」デスクトップアプリに脆弱性 ~JVNが注意喚起

DLLの検索パスに問題。最悪の場合、任意のコードを実行される恐れ

脆弱性レポート(JVNVU#50810870)

 脆弱性対策情報ポータルサイト“JVN”は2月18日、脆弱性レポート(JVNVU#50810870)を公開した。Adobe社が提供する「Creative Cloud Desktop Application」のインストーラーにはDLLを読み込む際の検索パスに問題があり、同一フォルダーに配置された偽のDLLを意図せず読み込んでしまう脆弱性があるという。最悪の場合、インストーラーを実行している権限で任意のコードを実行されてしまう可能性がある。

 本脆弱性(CVE-2019-7093)の深刻度は、“CVSS v3”の基本値で“7.8”、“CVSS v2”の基本値で“6.8”。「Creative Cloud Desktop Application」のv4.7.0.400およびそれ以前のバージョンに影響する。

 脆弱性の影響を受けるのはインストーラーの起動時のみであるため、すでに製品がインストールされている場合、対応は不要だ。新規にインストールする場合は、Adobe社が提供する最新のインストーラーを利用するようにしたい。インストーラーを実行する際、同じフォルダーに不審なファイルがないかどうか確認するのも重要だ。

 なお、「Adobe Creative Cloud」の最新版インストーラーは、今月13日(米国時間)に「Adobe Flash Player」「Adobe Acrobat DC」「Adobe Acrobat Reader DC」の月例セキュリティアップデートともにリリース済みだ。