ニュース

デスクトップ・モバイル版「Acrobat Reader」などに致命的な脆弱性

Adobeが6製品が対象にセキュリティ情報を発表

同社のセキュリティ情報ページ

 米Adobeは10月12日(現地時間)、同社製品に関する月例のセキュリティ情報を発表した。今回は「Adobe Acrobat/Reader」や「Adobe Reader Mobile」など、6製品が対象となっている。

Adobe Acrobat and Reader | APSB21-104

 「Adobe Acrobat」「Adobe Acrobat Reader」のアップデートは不具合の修正が中心で、新機能の追加はないようだ。

「Adobe Acrobat」「Adobe Acrobat Reader」のアップデート

 セキュリティ関連の修正は、CVE番号ベースで4件。うち2件は任意コードの実行につながる恐れがあるとして、深刻度が最高の「Critical」と評価されている。同社はセキュリティアップデートの適用優先度をすべての製品で「2」と定め、できるだけ早く以下の修正版へアップデートすることを推奨している。

  • 「Acrobat DC」(Continuous)v21.007.20099(Windows/Mac)
  • 「Acrobat Reader DC」(Continuous)v21.007.20099(Windows/Mac)
  • 「Acrobat 2020」(Classic 2020)v20.004.30017(Windows/Mac)
  • 「Acrobat Reader 2020」(Classic 2020)v20.004.30017(Windows/Mac)
  • 「Acrobat 2017」(Classic 2017)v17.011.30204(Windows/Mac)
  • 「Acrobat Reader DC 2017」(Classic 2017)v17.011.30204(Windows/Mac)

 「Adobe Acrobat」「Adobe Acrobat Reader」はWindows/Macに対応しており、同社のWebサイトからダウンロード可能。すでにインストール済みの場合は、自動アップデート機能で最新版へ更新できる。

Adobe Connect | APSB21-91

 オンライン会議ソフト「Adobe Connect」では、信頼されていないデータの逆シリアル化(CVE-2021-40719)と反射型クロスサイトスクリプティング(Reflected XSS、CVE-2021-40721)の2件が対処された。いずれも任意コードの実行を許してしまう可能性がある。

 深刻度はそれぞれ「Critical」、「Important」と評価されており、v11.2.2およびそれ以前のバージョンに影響する。同社は更新プログラムの適用優先度を「2」と評価し、v11.2.3へのアップデートを推奨している。

Adobe Acrobat Reader for Android | APSB21-89

 Android版「Adobe Acrobat Reader」では、パストラバーサルの欠陥(CVE-2021-40724)が修正された。任意コードの実行につながる可能性があり、深刻度は「Important」と評価されている。

 v21.8.0およびそれ以前のバージョンで悪用される恐れがあり、Andrdoidのバージョンを問わず影響がある。同社は更新プログラムの適用優先度を「3」とし、v21.9.0へアップデートするよう呼び掛けている。

Adobe ops-cli | APSB21-88

 「Adobe Ops CLI」は、Adobeがオープンソースで開発しているインフラストラクチャーの自動化ツール。信頼されていないデータの逆シリアル化の問題が1件報告されており、すべてのプラットフォームでv2.0.5へのアップデートが推奨されている。適用優先度は「3」。

Adobe Commerce | APSB21-86

 「Adobe Commerce」には、クロスサイトリクエストフォージェリ(CSRF)によりセキュリティ機能がバイパスされる問題がある。深刻度は「Important」。同社は適用優先度を「2」とし、以下の最新版へ更新するよう呼び掛けている。v2.4.2系統にも影響するが、パッチが提供されないようなので注意したい。

  • Adobe Commerce 2.4.3-p1
  • Adobe Commerce 2.3.7-p2
  • Magento Open Source 2.4.3-p1
  • Magento Open Source 2.3.7-p2

Adobe Campaign Standard| APSB21-52

 「Adobe Campaign Standard」では、DOMベースのXSSにより任意コードが実行される欠陥(CVE-2021-40744)がある。Windows/Linux版のv21.2.1およびそれ以前のバージョンに影響し、深刻度は「Critical」。

 同社は適用優先度を「2」と定め、Windows/Linux版ともにv21.3.1へのアップデートを呼び掛けている。