ニュース

「Adobe Creative Cloud」デスクトップアプリなどに致命的な脆弱性 ~Adobeが発表

「Adobe Media Encoder」、「Adobe ColdFusion」などにもセキュリティ修正

2020年7月15日 08:15

Adobe、セキュリティ情報を発表

 米Adobe Systemsは7月14日(現地時間)、新しいセキュリティ情報を発表した。今回は「Adobe Creative Cloud」デスクトップアプリや「Adobe Media Encoder」、「Adobe ColdFusion」などで脆弱性が発見され、対処されている。

Adobe Creative Cloud Desktop Application(APSB20-33)

 Windows版「Adobe Creative Cloud Desktop Application」v5.1およびそれ以前のバージョンには、CVE番号ベースで4件の脆弱性が存在する。なかでもシンボリックリンクの処理に関する脆弱性(CVE-2020-9682)はファイルシステムが勝手に書き換えられてしまう可能性があるとして、深刻度“Critical”と評価されているので注意(そのほかに脆弱性は“Important”)。

 同社はWindows版「Adobe Creative Cloud Desktop Application」をv5.2にアップデートするよう呼び掛けている。対応優先度は“2”。

Adobe Media Encoder(APSB20-36)

 「Adobe Media Encoder」では、CVE番号ベースで3件の脆弱性が修正された。うち2件は境界外書き込みにより任意コードの実行を招く恐れがあり、深刻度“Critical”と評価されている(そのほかに脆弱性は“Important”)。

 脆弱性の影響範囲は、Windows版のv14.2およびそれ以前のバージョン。Windows/Mac版ともにv14.3への更新が推奨されている。対応優先度は“3”。

Adobe Genuine Service(APSB20-42)

 「Adobe Genuine Integrity Service」は、利用しているAdobe製品が正規品であるかどうかを検証するバックグラウンドサービス。Windows/Mac版のv6.6およびそれ以前のバージョンで3件の脆弱性が確認されており、v7.1への更新が必要だ。対応優先度は“3”。

 脆弱性はいずれも権限昇格につながりうるもので、深刻度は“Important”と評価されている。

Adobe ColdFusion(APSB20-43)

 「ColdFusion 2016」Update 15およびそれ以前のバージョンと、「ColdFusion 2018」Update 9およびそれ以前のバージョンでは、深刻度“Important”の脆弱性が2件修正された。いずれもDLLハイジャックに分類されるもので、権限昇格につながる可能性がある。

 同社は対応優先度を“2”と定め、「ColdFusion 2016」をUpdate 16に、「ColdFusion 2018」をUpdate 10に更新するよう呼び掛けている。

Adobe Download Manager(APSB20-49)

 「Adobe Download Manager」で修正された脆弱性はCVE番号ベースで1件。コマンドインジェクションにより任意のコードが実行される可能性があるとして、深刻度は“Critical”と評価されている。影響範囲はWindows版のv2.0.0.518およびそれ以前のバージョンで、v2.0.0.529へのアップデートが必要だ。対応優先度は“3”。

 「Adobe Download Manager」はかつて「Adobe Reader」や「Adobe Flash Player」のダウンロードとインストールに利用されていたが、現在はそれぞれのインストーラーを個別にダウンロードする方法が案内されている。