ニュース

「Flash」や「Acrobat/Acrobat Reader」に脆弱性~Adobe、月例セキュリティ情報を発表

任意コードの実行につながる恐れ

2020年2月12日 05:00

「Adobe Flash Player」v32.0.0.330

 米Adobe Systemsは2月11日(現地時間)、同社製品の月例セキュリティ情報を発表した。今月は「Adobe Framemaker」、「Adobe Acrobat」、「Adobe Acrobat Reader」などで脆弱性の修正が行われている。「Adobe Flash Player」にもアップデートが提供されており、セキュリティに関する修正が行われている。

「Adobe Framemaker」(APSB20-04)

 DTPソフト「Adobe FrameMaker」で修正された脆弱性は、CVE番号ベースで21件。深刻度はすべて“Critical”と評価されており、注意を要する。

 Windows版のv2019.0.4およびそれ以前のバージョンに影響し、v2019.0.5へのアップデートが必要だ。セキュリティアップデートの適用優先度は“3”。

「Adobe Acrobat」と「Adobe Acrobat Reader」(APSB20-05)

「Adobe Acrobat Reader」v2020.006.20034

 「Adobe Acrobat」と「Adobe Acrobat Reader」では、CVE番号ベースで17件の脆弱性が修正された。任意コードの実行につながる恐れのある深刻度“Critical”の問題も含まれており、注意が必要だ。同社はセキュリティアップデートの適用優先度をすべての製品で“2”と定め、30日程度以内を目安に以下の最新版へのアップデートを推奨している。

  • 「Acrobat DC」(Continuous)v2020.006.20034(Windows/Mac)
  • 「Acrobat Reader DC」(Continuous)v2020.006.20034(Windows/Mac)
  • 「Acrobat 2017」(Classic 2017)v2017.011.30158(Windows/Mac)
  • 「Acrobat Reader DC 2017」(Classic 2017)v2017.011.30158(Windows/Mac)
  • 「Acrobat 2015」(Classic 2015)v2015.006.30510(Windows/Mac)
  • 「Acrobat Reader 2015」(Classic 2015)v2015.006.30510(Windows/Mac)

 「Acrobat DC」および「Acrobat Reader DC」はWindows/Macに対応しており、同社のWebサイトからダウンロード可能。すでにインストール済みの場合は、自動アップデート機能で最新版へ更新できる。

「Adobe Flash Player」(APSB20-06)

 「Adobe Flash Player」で脆弱性の修正が行われるのは、昨年の9月以来。今回は任意コードの実行につながる恐れのある型混乱の欠陥(CVE-2020-3757)が1件解決された。

 影響範囲はWindows/Mac向けデスクトップランタイムおよび「Google Chrome」用プラグインのv32.0.0.321およびそれ以前のバージョンと、Linux向けデスクトップランタイムのv32.0.0.314およびそれ以前のバージョン、「Microsoft Edge」「Internet Explorer 11」用のプラグイン(Windows 8.1/10)のv32.0.0.255およびそれ以前のバージョン。同社はLinux版デスクトップランタイムを除くすべてのプラットフォームで更新プログラムの適用優先度を最高レベルの“2”とし(Linux版デスクトップランタイムは“3”)、できるだけ早い最新版(v32.0.0.330)へのアップデートを推奨している。

 「Adobe Flash Player」の最新版は、現在同社のWebサイトから無償でダウンロード可能。自動更新機能が有効になっていれば、通常24時間以内に自動でアップデートされる。「Internet Explorer 11」および「Microsoft Edge」用のプラグインは“Windows Update”から更新可能。また、「Google Chrome」用のプラグインも自動で最新版へ更新される。

「Adobe Digital Edition」(APSB20-07)

 「Adobe Digital Edition」で修正された脆弱性は、情報漏洩につながる恐れのあるバッファーエラー(CVE-2020-3759)と、任意コードの実行につながる恐れのあるコマンドインジェクションの欠陥(CVE-2020-3760)の2件。後者は深刻度“Critical”と評価されており、警戒が必要だ。

 影響範囲はWindows版のv4.5.10およびそれ以前のバージョンで、v4.5.11へのアップデートが推奨されている。セキュリティアップデートの適用優先度は“3”。

「Adobe Experience Manager」(APSB20-08)

 デジタルコンテンツ管理ソリューション「Adobe Experience Manager」では、DoSにつながる恐れのある問題(CVE-2020-3741)が1件修正された。深刻度の評価は“Important”で、v6.4/v6.5にホットフィックスが提供されている。セキュリティアップデートの適用優先度は“2”。