ニュース
「Photoshop」や「Premiere Pro」に脆弱性 ~Adobeが15製品のセキュリティアップデートを実施
任意コードの実行やセキュリティ機能のバイパスにつながりうる致命的な脆弱性が多数
2021年9月15日 16:19
米Adobeは9月14日(現地時間)、同社製品に関する月例のセキュリティ情報を発表した。今回は「Adobe Photoshop」や「Adobe InDesign」、「Adobe Premiere Pro」、「Adobe Acrobat」など、15製品が対象となっている。
Adobe XMP Toolkit SDK | APSB21-85
「Adobe XMP Toolkit SDK」で修正された脆弱性は、CVE番号で1件。範囲外読み取りにより任意のシステムファイルが読めてしまうとして、深刻度は「Important」と評価されている。
脆弱性の対応優先度は「3」。v2021.07およびそれ以前のバージョンに影響し、すべてのプラットフォームでv2021.08への更新が必要だ。
Adobe Photoshop | APSB21-84
「Adobe Photoshop」で修正された脆弱性は、CVE番号ベースで1件。バッファーオーバーフローにより、任意のコードが実行可能になる問題(CVE-2021-40709)が解決された。深刻は「Critical」と評価されている。
影響範囲は、Windows/Mac版の「Photoshop 2020」(v21.2.11およびそれ以前のバージョン)と「Photoshop 2021」(v22.5およびそれ以前のバージョン)。それぞれv21.2.12、v22.5.1への更新が推奨されている。アップデートの適用優先度は「3」。
Adobe Experience Manager | APSB21-82
「Adobe Experience Manager」(AEM)では、CVE番号ベースで4件の脆弱性が修正された。最大深刻度は「Critical」で、クロスサイトスクリプティング(XSS)により任意のコードが実行可能になる恐れがある。
影響範囲は、すべてのプラットフォームのv6.5.9.0およびそれ以前のバージョン。アップデートの適用優先度は「2」で、v6.5.10.0へのアップデートが必要だ。「AEM Cloud Service」(CS)にも影響するが、新機能とともに更新プログラムが自動で配信されるため、ユーザー側のアクションは不要。
Adobe Genuine Service | APSB21-81
「Adobe Genuine Service」は、利用しているAdobe製品が正規品であるかどうかを検証するバックグラウンドサービス。Windows/Mac版のv7.3およびそれ以前のバージョンには権限昇格につながる恐れのあるファイルパーミッションの不備があり、v7.4へのアップデートが推奨されている。深刻度は「Critical」、対応優先度は「3」。
Adobe Digital Editions | APSB21-80
電子書籍ソリューション「Adobe Digital Editions」では、CVE番号ベースで3件の問題が大書された。うち2件(任意のシステムファイル書き込み、コマンドインジェクション)は深刻度「Critical」と評価されており、警戒が必要だ。
影響範囲はMac版のv4.5.11.187646およびそれ以前のバージョン。同社は対応優先度を「3」と定め、v4.5.11.187658へ更新するよう呼び掛けている。
Adobe Premiere Elements | APSB21-78
「Adobe Premiere Elements」で修正された脆弱性は、CVE番号ベースで5件。すべて任意コードの実行につながりうる欠陥で、4件は深刻度が最大の「Critical」と評価されている。
影響範囲は、Windows/Mac版の「Adobe Premiere Elements 2021」build 19.0(20210127.daily.2235820)およびそれ以前のバージョン。build 19.0 (20210809.daily.2242976)へのアップデートが必要だ。対応優先度は「3」。
Adobe Photoshop Elements | APSB21-77
「Adobe Photoshop Elements」では、任意コードの実行につながりうる範囲外書き込み(CVE-2021-39825)が対処された。Windows/Mac版の「Adobe Photoshop Elements 2021」build 19.0(20210304.m.156367)およびそれ以前のバージョンに影響し、深刻度の評価は「Critical」。build 19.0 (20210811.m.158081)へのアップデートが必要だ。対応優先度は「3」。
Adobe Creative Cloud Desktop Application | APSB21-76
macOS版「Adobe Creative Cloud」デスクトップアプリのv5.4およびそれ以前のバージョンには一時ファイルが誤ったパーミッションのディレクトリに作成される問題(CVE-2021-28613)があり、任意のシステムファイルを書き換えられる可能性がある。
同社は本脆弱性の深刻度を「Critical」と評価し、Windows/macOS版ともにv5.5へアップデートするよう呼び掛けている。対応優先度は「3」。
Adobe ColdFusion | APSB21-75
「ColdFusion 2018」「ColdFusion 2021」では、CVE番号ベースで2件の脆弱性が修正された。いずれもセキュリティ機能のバイパスに悪用される可能性があり、深刻度は「Critical」。同社はセキュリティアップデートの適用優先度を「2」と定め、30日程度以内を目安に「ColdFusion 2018」を「Update 12」へ、「ColdFusion 2021」を「Update 2」へ更新するよう呼び掛けている。
なお、「ColdFusion」ではJavaが利用されているが、「Java 8」(LTSリリース)もしくは「Java 11」の最新版JDKへのアップデートが推奨されている。JDKを更新せずに「ColdFusion」を更新しても、サーバーは保護されない。
Adobe Framemaker | APSB21-74
「Adobe Framemaker」で修正された脆弱性は、CVE番号ベースで8件。最大深刻度は「Critical」で、任意コードの実行に悪用される可能性がある。
脆弱性の影響を受けるのはWindows版「2019 Update 8」およびそれ以前のバージョンと、「2020 Release Update 2」およびそれ以前のバージョン。それぞれホットフィックスの適用と、「2020 Release Update 3」への更新が必要だ。アップデートの適用優先度は「3」。
Adobe InDesign | APSB21-73
「Adobe InDesign」では、CVE番号ベースで3件の脆弱性が修正された。いずれも任意コードの実行につながりうる欠陥で、深刻度は「Critical」。Windows版のv16.3およびそれ以前のバージョンと、Mac版のv16.3.2およびそれ以前のバージョンに影響する。
同社はWindows/Mac版ともにアップデートの適用優先度を「3」と定め、v16.4へのアップデートを呼び掛けている。
Adobe SVG-Native-Viewer | APSB21-72
「Adobe SVG-Native-Viewer」ライブラリでは、Linux環境に影響のある任意コード実行の問題が対処された。深刻度は「Critical」で、適用優先度は「3」。
Adobe InCopy | APSB21-71
「Adobe InCopy」では、CVE番号ベースで2件の脆弱性が修正されている。システムファイルの書き換えやコード実行に悪用される可能性があり、深刻度はいずれも「Critical」。Windows版のv16.3およびそれ以前のバージョンと、Mac版のv16.3.1およびそれ以前のバージョンに影響する。
同社はWindows/Mac版ともにアップデートの適用優先度を「3」と定め、v16.4へのアップデートを呼び掛けている。
Adobe Premiere Pro | APSB21-67
「Adobe Premiere Pro」ではバッファーの終端を超えてメモリ位置にアクセスしてしまう欠陥が2件(CVE-2021-40710、CVE-2021-40715)修正された。いずれも任意コードの実行を引き起こしうるもので、深刻度は「Critical」と評価されている。
脆弱性の影響範囲はWindows版のv15.4およびそれ以前のバージョン。Windows/Mac版ともにv15.4.1へのアップデートが推奨されている。適用優先度は「3」。
Adobe Acrobat and Reader | APSB21-55
「Adobe Acrobat」「Adobe Acrobat Reader」については、下記ニュース記事を参照のこと。