Adobe、セキュリティ情報を公開 ～「Shockwave Player」「Dreamweaver」「InDesign」などが対象

同社の公式ブログ

　米Adobe Systemsは4月9日（現地時間）、同社製品に関するセキュリティ情報を公開した。「Adobe Flash Player」や「Acrobat DC」「Acrobat Reader DC」のほかにも、「Adobe Shockwave Player」、「Adobe Dreamweaver」、「Adobe XD」、「Adobe InDesign」などが対象となっている。

Adobe Shockwave Player（APSB19-20）

　Windows版「Adobe Shockwave Player」プラグインでは、任意のコードの実行につながる恐れのあるメモリ破損の脆弱性がCVE番号ベースで7件修正された。深刻度は同社基準で3段階中最高の“Critical”。同社は対応優先度を“2”と定め、v12.3.5.205へのアップデートを推奨している。

　なお、個人ユーザー向けのサポートは「Adobe Shockwave」の提供終了とともに打ち切られているので注意。利用の停止をお勧めする。

Adobe Dreamweaver （APSB19-21）

　Windows/Mac版「Adobe Dreamweaver」のv19.0およびそれ以前のバージョンにはプロトコル実装が安全でないため、SMBリクエストがリレー攻撃を受けた場合に機密情報が漏洩する欠陥（CVE-2019-7097）がある。深刻度は、同社基準で3段階中最低の“Moderate”。

　同社は対応優先度を“3”と定め、v19.1へのアップデートを推奨している。

Adobe XD（APSB19-22）

　「Adobe XD」で修正された脆弱性は、CVE番号ベースで2件。パストラバーサルの欠陥により任意のコードが実行される可能性がある。

　深刻度はいずれも同社基準で3段階中最高の“Critical”と評価されており、macOS版のv16.0およびそれ以前のバージョンはv17.0.12へアップデートをする必要がある。対応優先度は“3”。

Adobe InDesign（APSB19-23）

　「Adobe InDesign」では、macOS版のv14.0.1およびそれ以前のバージョンに影響する脆弱性が1件修正された（CVE-2019-7107）。ハイパーリンクの処理に不備があり、任意のコードが実行される可能性があるとして、深刻度同社基準で3段階中最高の“Critical”と評価されている。

　対応優先度は“3”と低めだが、v14.0.2へのアップデートが推奨されている。

「Adobe Experience Manager Forms」（APSB19-24）

　「Adobe Experience Manager Forms」（v6.2/v6.3/v6.4）で修正された脆弱性は、CVE番号ベースで1件（CVE-2019-7129）。格納型XSS（Stored Cross-site Scripting）の問題により、取り扱いに注意を要する情報が漏洩する恐れがある。対応優先度は“2”で、同社の提供するアップデートを適用する必要がある。

「Adobe Bridge CC」（APSB19-25）

　Windows/Mac版「Adobe Bridge CC」では、CVE番号ベースで8件の脆弱性が修正された。うち、任意コードの実行につながる恐れのある欠陥は深刻度“Critical”、情報漏洩につながる可能性のある問題は深刻度“Important”と評価されている。v9.0.2に影響し、v9.0.3へのアップデートが推奨されている。対応優先度は“2”。