ニュース
デスクトップ・モバイル版「Acrobat Reader」などに致命的な脆弱性
Adobeが6製品が対象にセキュリティ情報を発表
2021年10月13日 09:56
米Adobeは10月12日(現地時間)、同社製品に関する月例のセキュリティ情報を発表した。今回は「Adobe Acrobat/Reader」や「Adobe Reader Mobile」など、6製品が対象となっている。
Adobe Acrobat and Reader | APSB21-104
「Adobe Acrobat」「Adobe Acrobat Reader」のアップデートは不具合の修正が中心で、新機能の追加はないようだ。
セキュリティ関連の修正は、CVE番号ベースで4件。うち2件は任意コードの実行につながる恐れがあるとして、深刻度が最高の「Critical」と評価されている。同社はセキュリティアップデートの適用優先度をすべての製品で「2」と定め、できるだけ早く以下の修正版へアップデートすることを推奨している。
- 「Acrobat DC」(Continuous)v21.007.20099(Windows/Mac)
- 「Acrobat Reader DC」(Continuous)v21.007.20099(Windows/Mac)
- 「Acrobat 2020」(Classic 2020)v20.004.30017(Windows/Mac)
- 「Acrobat Reader 2020」(Classic 2020)v20.004.30017(Windows/Mac)
- 「Acrobat 2017」(Classic 2017)v17.011.30204(Windows/Mac)
- 「Acrobat Reader DC 2017」(Classic 2017)v17.011.30204(Windows/Mac)
「Adobe Acrobat」「Adobe Acrobat Reader」はWindows/Macに対応しており、同社のWebサイトからダウンロード可能。すでにインストール済みの場合は、自動アップデート機能で最新版へ更新できる。
Adobe Connect | APSB21-91
オンライン会議ソフト「Adobe Connect」では、信頼されていないデータの逆シリアル化(CVE-2021-40719)と反射型クロスサイトスクリプティング(Reflected XSS、CVE-2021-40721)の2件が対処された。いずれも任意コードの実行を許してしまう可能性がある。
深刻度はそれぞれ「Critical」、「Important」と評価されており、v11.2.2およびそれ以前のバージョンに影響する。同社は更新プログラムの適用優先度を「2」と評価し、v11.2.3へのアップデートを推奨している。
Adobe Acrobat Reader for Android | APSB21-89
Android版「Adobe Acrobat Reader」では、パストラバーサルの欠陥(CVE-2021-40724)が修正された。任意コードの実行につながる可能性があり、深刻度は「Important」と評価されている。
v21.8.0およびそれ以前のバージョンで悪用される恐れがあり、Andrdoidのバージョンを問わず影響がある。同社は更新プログラムの適用優先度を「3」とし、v21.9.0へアップデートするよう呼び掛けている。
Adobe ops-cli | APSB21-88
「Adobe Ops CLI」は、Adobeがオープンソースで開発しているインフラストラクチャーの自動化ツール。信頼されていないデータの逆シリアル化の問題が1件報告されており、すべてのプラットフォームでv2.0.5へのアップデートが推奨されている。適用優先度は「3」。
Adobe Commerce | APSB21-86
「Adobe Commerce」には、クロスサイトリクエストフォージェリ(CSRF)によりセキュリティ機能がバイパスされる問題がある。深刻度は「Important」。同社は適用優先度を「2」とし、以下の最新版へ更新するよう呼び掛けている。v2.4.2系統にも影響するが、パッチが提供されないようなので注意したい。
- Adobe Commerce 2.4.3-p1
- Adobe Commerce 2.3.7-p2
- Magento Open Source 2.4.3-p1
- Magento Open Source 2.3.7-p2
Adobe Campaign Standard| APSB21-52
「Adobe Campaign Standard」では、DOMベースのXSSにより任意コードが実行される欠陥(CVE-2021-40744)がある。Windows/Linux版のv21.2.1およびそれ以前のバージョンに影響し、深刻度は「Critical」。
同社は適用優先度を「2」と定め、Windows/Linux版ともにv21.3.1へのアップデートを呼び掛けている。