ニュース

Adobeがセキュリティ情報を発表、「Acrobat」「Illustrator」など12製品に脆弱性

任意コードの実行につながる恐れがある危険な欠陥が多数修正される

脆弱性情報「APSB21-15」

 米Adobeは5月11日(現地時間)、同社製品に関するセキュリティ情報を発表した。今回は「Adobe Creative Cloud」デスクトップアプリや「Adobe Acrobat/Reader」、「Adobe InDesign」、「Adobe Illustrator」、「Adobe After Effects」など12製品が対象となっている。

Adobe Experience Manager | APSB21-15

 「Adobe Experience Manager」(AEM)では、CVE番号ベースで2件の脆弱性が修正された。最大深刻度は「Critical」で、v6.5.7.0/v6.4.8.3/v6.3.3.8およびそれ以前のバージョンと「AEM Cloud Service」(CS)に影響する。

 CSの場合は、新機能とともに更新プログラムが自動で配信される。それ以外の場合は、v6.5.8.0/v6.4.8.4へのアップデートが必要だ。アップデートの適用優先度は「2」。

Adobe InDesign | APSB21-22

 「Adobe InDesign」では、CVE番号ベースで3件の脆弱性が修正された。いずれも任意コードの実行につながりかねない範囲外書き込みの欠陥で、深刻度は「Critical」。Windows版の「Adobe InDesign」v16.0およびそれ以前のバージョンに影響する。

 同社はWindows/Mac版ともにアップデートの適用優先度を「3」と定め、v16.2.1へのアップデートを呼び掛けている。

Adobe Illustrator | APSB21-24

 「Adobe Illustrator」で修正された脆弱性は、CVE番号ベースで5件。内容は範囲外書き込み、メモリ破壊、パストラバーサルなど多岐にわたるが、いずれも任意コードの実行につながる恐れがある。深刻度の評価は、すべて「Critical」。

 影響を受けるバージョンは、Windows版「Illustrator 2021」v25.2およびそれ以前のバージョン。同社は対応優先度を「3」と定め、Windows/Mac版ともにv25.2.3へのアップデートを推奨している。

Adobe InCopy | APSB21-25

 「Adobe InCopy」でも、パストラバーサルの欠陥(CVE-2021-21090)が修正された。任意コードの実行につながる恐れがあるとして、深刻度は「Critical」と評価されている。

 影響範囲は、Windows版のv16.0およびそれ以前のバージョン。v16.2.1へのアップデートが必要だ。対応優先度「3」。

Adobe Genuine Service | APSB21-27

 「Adobe Genuine Integrity Service」は、利用しているAdobe製品が正規品であるかどうかを検証するバックグラウンドサービス。Windows/Mac版のv7.1およびそれ以前のバージョンには権限昇格につながる恐れのあるファイルパーミッションの不備があり、v7.3へのアップデートが推奨されている。深刻度は「Important」、対応優先度は「3」。

Adobe Acrobat/Reader | APSB21-29

 「Adobe Acrobat」「Adobe Acrobat Reader」で修正された脆弱性は、CVE番号ベースで14件。最大深刻度は「Critical」で、最悪の場合、任意のコードが実行されてしまう可能性がある。

「Acrobat Reader DC」(Continuous)v2021.001.20155

 同社は対応優先度を最高の「1」と定め、下記のバージョンへできるだけ早くアップデートするよう呼び掛けている。

  • Acrobat DC(Continuous):v2021.001.20155
  • Acrobat Reader DC(Continuous):v2021.001.20155
  • Acrobat 2020(Classic 2020):v2020.001.30025
  • Acrobat Reader 2020(Classic 2020):v2020.001.30025
  • Acrobat 2017(Classic 2017):v2017.011.30196
  • Acrobat Reader 2017(Classic 2017):v2017.011.30196

 ちなみに、ほとんどのユーザーが利用しているのは「Continuous」トラックの製品となる。

Magento | APSB21-30

 ECプラットフォーム「Magento」で修正された脆弱性は、CVE番号で7件。深刻度は最高で「Important」と評価されている。

 影響範囲は「Magento Commerce」v2.4.2/v2.4.1-p1/v2.3.6-p1およびそれ以前のバージョンと、「Magento Open Source」v2.4.2/v2.4.1-p1/v2.3.6-p1およびそれ以前のバージョン。同社は対応優先度を「2」と定め、v2.4.2-p1、v2.3.7へのアップデートを推奨している。

Adobe Creative Cloud Desktop Application | APSB21-31

 Windows版「Adobe Creative Cloud」デスクトップアプリのv5.3およびそれ以前のバージョンには、CVE番号ベースで1件の脆弱性が存在する。内容は検索パス要素の管理不備により特権昇格が起こるというもので、深刻度は「Critical」。

 同社はWindows版「Adobe Creative Cloud」デスクトップアプリをv5.4.3(「CCLibrary.exe」v3.12.11.1)にアップデートするよう呼び掛けている。対応優先度は「3」。

Adobe Media Encoder | APSB21-32

 Windows版「Adobe Media Encoder」v15.1およびそれ以前のバージョンには範囲外読み取りのセキュリティ欠陥が存在し、最悪の場合、特権昇格につながる可能性がある。深刻度の評価は3段階中2番目に高い「Important」。

 同社はアップデートの適用優先度を「3」とし、Windows/Mac版ともにv15.2へのアップデートを呼び掛けている。

Adobe After Effects | APSB21-33

 モーショングラフィックスソフト「Adobe After Effects」では、Windows版のv18.1およびそれ以前のバージョンで任意のコードの実行につながる恐れのあるOSコマンドインジェクションの脆弱性が発見された。深刻度は「Critical」。

 セキュリティアップデートの適用優先度は「3」と低めだが、Windows/Mac版ともにv18.2への更新が推奨されている。

Medium by Adobe | APSB21-34

 「Oculus」向けに提供されているVRオーサリングソフト「Medium」では、入力検証の不備が修正された。最悪の場合、任意コードの実行につながる恐れがあるとして、深刻度の評価は「Critical」。同社は適用優先度「3」でv2.4.5.332へのアップデートを呼び掛けている。

Adobe Animate | APSB21-35

 HTML5/Flashアニメーション制作ツール「Adobe Animate」では、CVE番号ベースで7件の脆弱性が修正された。うち2件は任意コードの実行につながる恐れがあるとして、深刻度が「Critical」と評価されている。

 影響範囲はWindows版のv21.0.5およびそれ以前のバージョン。Windows/Mac版ともにv21.0.6へのアップデートが推奨されている。更新プログラムの適用優先度は「3」。