ニュース
デスクトップ・モバイル版「Photoshop」や「Premiere Pro」などに致命的な脆弱性
Adobeが11製品のセキュリティ情報を発表
2021年12月16日 20:13
米Adobeは12月15日(現地時間)、同社製品に関する月例のセキュリティ情報を発表した。今回は「Adobe Photoshop」や「Adobe Premiere Pro」など、11製品が対象となっている。
Adobe Premiere Rush | APSB21-101
Windows版およびmacOS版のビデオ編集アプリ「Adobe Premiere Rush」は、同社の基準で最も致命的な深刻度「Critical」が11件、次に深刻な「Important」が5件、計16件の脆弱性が対処されている。
アプリケーションのサービス拒否や任意のコードの実行につながる、バッファの終端後のメモリ領域に対するアクセス(Access of Memory Location After End of Buffer)がCritical10件(CVE-2021-40783/40784/43021/43022/43023/43025/43026/43028/43029/43747)と、Important1件(CVE-2021-43024)。そのほか、不適切な入力検証(CVE-2021-43746)がCritical1件とされる。初期化されていないポインターのアクセス(CVE-2021-43030)、NULL ポインタデリファレンス(CVE-2021-43748/43749/43750)がImportant。
v1.5.16以前のバージョンで悪用される恐れがあり、同社は更新プログラムの適用優先度を「3」とし、v2.0へアップデートするよう呼び掛けている。
Adobe Experience Manager | APSB21-103
Experience MabagerはAdobeが提供するコンテンツマネージャー。6件のクロスサイトスクリプティングがあり、そのうち5件(CVE-2021-43761/43764/43765/44176/44177)がCritical、1件(CVE-2021-44178)がImportantとされている。そのほか、XML外部エンティティ参照の不適切な制限(CVE-2021-40722)がCritical。不適切な入力確認(CVE-2021-43762)がImportant。
すべてのプラットフォームにおけるAEMクラウドサービス(CS)および6.5.10.0以前のバージョンが影響を受ける。同社は更新プログラムの優先度を「2」とし、AEMクラウドサービスの最新版への更新と、v6.5.11.0へのアップデートを呼び掛けている。
Adobe Connect | APSB21-112
オンライン会議ソフト「Adobe Connect」は、任意のファイルシステム書き込みにつながるクロスサイトリクエストフォージェリ(SCRF、CVE-2021-43014)に対処する。深刻度はImportant。同社は優先度を「3」とし、v11.4へ更新するよう呼び掛けている。全てのプラットフォームで、v11.3以前のバージョンにも影響する。
Adobe Photoshop | APSB21-113
「Photoshop」の修正は3件。そのうち、境界外書き込み(Out-of-bounds Write、CVE-2021-43018)とバッファオーバーフロー(CVE-2021-44184)の2件がCritical。残る1件はバッファの終端後のメモリ領域に対するアクセス(CVE-2021-43020)で、Important。
影響を受けるバージョンはWindows/macOSともに「Photoshop 2021」v22.5.3以前と、「Photoshop 2022」v23.0.2以前。同社は、「Photoshop 2021」v22.5.4または「Photoshop 2022」v23.1へのアップデートを呼び掛けており、優先度を「3」としている。
Adobe Prelude | APSB21-114
動画のログ作成や取り込みを行う「Adobe Prelude」では、深刻度Criticalとなるバッファの終端後のメモリ領域に対するアクセス(CVE-2021-43754)と、深刻度Importantとなる境界外読み取り(CVE-2021-44696)に対処した。Windowsのv22.0およびそれ以前のバージョンに影響する。
同社は適用優先度を「3」と定め、Windows/macOSともにv22.1.1へのアップデートを呼び掛けている。
Adobe After Effects | APSB21-115
「Adobe After Effects」は、映像のデジタル合成やモーショングラフィックスを作成するソフトウェア。深刻度がCriticalが、バッファの終端後のメモリ領域に対するアクセス(CVE-2021-43755)と境界外読み取り(CVE-2021-44188)の2件。深刻度Importantの解放済みメモリの使用(CVE-2021-44189)、境界外読み取り(CVE-2021-44190/44191/44192/44193/44194/44195)の7件、深刻度のModerateの境界外読み取り(CVE-2021-43027)1件も対処された。
Windows/macOSの、v22.0以前または18.4.2以前が影響を受ける。同社は適用優先度を「3」とし、v22.1.1またはv18.4.3へのアップデートを呼び掛けている。
Adobe Dimension | APSB21-116
2Dと3Dの合成デザインソフト「Adobe Dimension」では、計6件の脆弱性が対処されている。深刻度Criticalは、バッファの終端後のメモリ領域に対するアクセスが2件(CVE-2021-44180、44181)、境界外書き込みが1件(CVE-2021-44179)。深刻度Importantは、境界外読み取りが1件(CVE-2021-43763)、深刻度Moderateは、境界外読み取り2件(CVE-2021-44182/44183)。
WindowsとmacOSのv3.4.3以前のバージョンが影響を受ける。同社は適用優先度を「3」とし、3.4.4へのアップデートを呼び掛けている。
Adobe Premiere Pro | APSB21-91
ビデオ編集ソフト「Premiere Pro」では、深刻度Criticalの境界外読み取り1件(CVE-2021-40795)、深刻度Moderateの境界外読み取り3件(CVE-2021-40751/40790/42265)と解放済みメモリの使用1件(CVE-2021-40790)が対処された。
WindowsとmacOSの、v22.0以前またはv15.4.2以前に影響する。同社は更新プログラムの適用優先度を「3」と評価し、v22.1.1またはv15.4.3へのアップデートを呼び掛けている。
Adobe Media Encoder | APSB21-118
動画エンコードソフト「Adobe Media Encoder」では、バッファの終端後のメモリ領域に対するアクセス(CVE-2021-43756)と境界外読み取り(CVE-2021-43757)の2件が深刻度Critical、境界外読み取り3件(CVE-2021-43758/43759/43760)が深刻度Moderateとされている。
WindowsおよびmacOSにおけるv22.0以前またはv15.4.2以前のバージョンが影響を受ける。同社は適用優先度を「3」とし、v22.1またはv15.4.へのアップデートを呼び掛けている。
Adobe Lightroom | APSB21-119
「Adobe Lightroom」は、深刻度Importantである解放済みメモリの使用(CVE-2021-43753)に対処している。
Windows/macOSのv4.4以前が影響を受ける。同社は適用優先度を「3」とし、v5.1へのアップデートを呼びかけている。
Adobe Audition | APSB21-121
オーディオエディターの「Audition」は、深刻度Moderateの境界外読み取り3件(CVE-2021-44697/44698/44699)が対処された。Windows/macOSの、v22.0以前またはv14.4以前が影響を受ける。
同社は適用優先度を「3」とし、v22.1.1またはv14.4.3へのアップデートを呼び掛けている。