ニュース
「Photoshop」「Illustrator」などに致命的な脆弱性 ~Adobeがセキュリティ情報を発表
任意コードの実行につながる恐れ
2021年1月13日 06:34
米Adobeは1月12日(現地時間)、同社製品に関するセキュリティ情報を発表した。今回は「Adobe Photoshop」「Adobe Illustrator」「Adobe Animate」などが対象となっている。「Adobe Flash Player」のサポートは昨年末で打ち切られたため、アップデートは提供されない。
Adobe Photoshop(APSB21-01)
「Adobe Photoshop」で修正された脆弱性は、CVE番号ベースで1件。ヒープベースのバッファーオーバーフローにより、任意のコードが実行可能になる欠陥(CVE-2021-21006)が対策された。脆弱性の深刻度は“Critical”。
影響範囲はWindows/Mac版の「Photoshop 2021」v22.1およびそれ以前のバージョンで、同社は対応優先度を“3”と定め、v22.1.1へのアップデートを呼び掛けている。
なお、この脆弱性はv21.x系には影響しないとのこと。
Adobe Illustrator(APSB21-02)
「Adobe Illustrator」では、検索パス要素の管理に起因する脆弱性(CVE-2021-21007)が修正された。任意コードの実行につながる恐れがあり、深刻度は“Critical”と評価されている。
影響を受けるバージョンは、Windows版の「Illustrator 2020」v25.0およびそれ以前のバージョン。同社は対応優先度を“3”と定め、Windows/Mac版ともにv25.1へのアップデートを推奨している。
Adobe Animate(APSB21-03)
「Adobe Animate」で解決された問題も、「Adobe Illustrator」と同じく検索パスの問題だ(CVE-2021-21008)。深刻度は“Critical”。
Windows版のv21.0およびそれ以前のバージョンに影響し、Windows/Mac版ともにv21.0.2へのアップデートが必要だ。適用優先度は“3”。
Adobe Experience Manager(APSB20-72)
デジタルコンテンツ管理ソリューション「Adobe Experience Manager」(AEM)では、CVE番号ベースで2件の脆弱性が修正された。深刻度の内訳は“Critical”が1件、“Important”が1件。そのほかにも、「AEM」で使われているライブラリやコンポーネントがアップデートされ、多くのセキュリティ問題が解消された。
同社は対応優先度を“2”と定め、対策済みバージョンへの更新を案内している。
Adobe Campaign Classic(APSB21-04)
「Adobe Campaign Classic」は、対話的なキャンペーンの構築を支援するマーケティングソリューション。サーバーサイドリクエストフォージェリ(SSRF)により機密情報が漏洩する欠陥(CVE-2021-21009)が対処された。
本脆弱性の深刻度は、“Critical”。同社は対応優先度を“2”と定め、対策済みバージョンへの更新を案内している。
Adobe InCopy(APSB21-05)
「Adobe InCopy」で行われた修正も「Adobe Illustrator」と同じく検索パスの問題(CVE-2021-21010)で、深刻度は“Critical”。Windows版のv15.1.3およびそれ以前のバージョンに影響し、v16.0への更新が必要だ。対応優先度“3”。
Adobe Captivate(APSB21-06)
「Adobe Captivate」では、検索パス要素の管理不備に起因する特権昇格の脆弱性(CVE-2021-21011)が修正された。深刻度は“Important”と評価されており、ホットフィックスがリリースされた。
影響範囲はWindows版の「Adobe Captivate 2019」v11.5.1.499およびそれ以前のバージョン。同社は対応優先度を“3”と定め、対策を呼び掛けている。
Adobe Bridge(APSB21-07)
「Adobe Bridge」で修正された脆弱性は、CVE番号で2件。いずれも境界外書き込みにより任意コードの実行が可能になるというもので、深刻度は“Critical”と評価されている。
影響範囲はWindows版の「Adobe Bridge」v11.0およびそれ以前のバージョン。同社は対応優先度を“3”と定め、Windows/Mac版ともにv11.0.1へ更新するよう案内している。