ニュース
Adobe、セキュリティ情報を公開 ~「Shockwave Player」「Dreamweaver」「InDesign」などが対象
最新版へのアップデートを。「Adobe Shockwave」のサポートは終了しているので注意
2019年4月10日 09:30
米Adobe Systemsは4月9日(現地時間)、同社製品に関するセキュリティ情報を公開した。「Adobe Flash Player」や「Acrobat DC」「Acrobat Reader DC」のほかにも、「Adobe Shockwave Player」、「Adobe Dreamweaver」、「Adobe XD」、「Adobe InDesign」などが対象となっている。
Adobe Shockwave Player(APSB19-20)
Windows版「Adobe Shockwave Player」プラグインでは、任意のコードの実行につながる恐れのあるメモリ破損の脆弱性がCVE番号ベースで7件修正された。深刻度は同社基準で3段階中最高の“Critical”。同社は対応優先度を“2”と定め、v12.3.5.205へのアップデートを推奨している。
なお、個人ユーザー向けのサポートは「Adobe Shockwave」の提供終了とともに打ち切られているので注意。利用の停止をお勧めする。
Adobe Dreamweaver (APSB19-21)
Windows/Mac版「Adobe Dreamweaver」のv19.0およびそれ以前のバージョンにはプロトコル実装が安全でないため、SMBリクエストがリレー攻撃を受けた場合に機密情報が漏洩する欠陥(CVE-2019-7097)がある。深刻度は、同社基準で3段階中最低の“Moderate”。
同社は対応優先度を“3”と定め、v19.1へのアップデートを推奨している。
Adobe XD(APSB19-22)
「Adobe XD」で修正された脆弱性は、CVE番号ベースで2件。パストラバーサルの欠陥により任意のコードが実行される可能性がある。
深刻度はいずれも同社基準で3段階中最高の“Critical”と評価されており、macOS版のv16.0およびそれ以前のバージョンはv17.0.12へアップデートをする必要がある。対応優先度は“3”。
Adobe InDesign(APSB19-23)
「Adobe InDesign」では、macOS版のv14.0.1およびそれ以前のバージョンに影響する脆弱性が1件修正された(CVE-2019-7107)。ハイパーリンクの処理に不備があり、任意のコードが実行される可能性があるとして、深刻度同社基準で3段階中最高の“Critical”と評価されている。
対応優先度は“3”と低めだが、v14.0.2へのアップデートが推奨されている。
「Adobe Experience Manager Forms」(APSB19-24)
「Adobe Experience Manager Forms」(v6.2/v6.3/v6.4)で修正された脆弱性は、CVE番号ベースで1件(CVE-2019-7129)。格納型XSS(Stored Cross-site Scripting)の問題により、取り扱いに注意を要する情報が漏洩する恐れがある。対応優先度は“2”で、同社の提供するアップデートを適用する必要がある。
「Adobe Bridge CC」(APSB19-25)
Windows/Mac版「Adobe Bridge CC」では、CVE番号ベースで8件の脆弱性が修正された。うち、任意コードの実行につながる恐れのある欠陥は深刻度“Critical”、情報漏洩につながる可能性のある問題は深刻度“Important”と評価されている。v9.0.2に影響し、v9.0.3へのアップデートが推奨されている。対応優先度は“2”。