ニュース
「Adobe ColdFusion」にゼロデイ脆弱性 ~Adobe製品が月例セキュリティ情報を公表
「Photoshop」や「Illustrator」などにも深刻度Criticalの脆弱性、修正版が公開
2023年3月15日 15:58
米Adobeは3月14日(現地時間)、同社製品に関する月例のセキュリティ情報を公開した。今回は「Commerce」や「Illustrator」、「Creative Cloud」など9製品が対象で、CVE番号ベースで106件の脆弱性が修正されている。詳細は下記の通り(括弧内はCVEベースでの脆弱性の件数と最大深刻度)。
中でも「Adobe ColdFusion 2018」および「Adobe ColdFusion 2021」の不適切なアクセス制御の問題により任意のコードを実行される可能性がある脆弱性(CVE-2023-26360)は、すでに攻撃が確認されており、注意が必要だ。「Adobe ColdFusion 2018」はUpdate 16、「Adobe ColdFusion 2021」はUpdate 6へ更新することで修正できる。適用優先度は「1」(直ちに適用されることを推奨)。
- APSB23-17:Adobe Commerce (4件、Critical)
- APSB23-18:Adobe Experience Manager (18件、Important)
- APSB23-19:Adobe Illustrator (5件、Critical)
- APSB23-20:Adobe Dimension (58件、Critical)
- APSB23-21:Adobe Creative Cloud Desktop Application (1件、Critical)
- APSB23-22:Adobe Substance 3D Stager (16件、Critical)
- APSB23-23:Adobe Photoshop (1件、Critical)
- APSB23-25:Adobe ColdFusion (3件、Critical)
報告されている脆弱性については悪用された場合、任意のコード実行やメモリリーク、セキュリティ機能バイパスの問題などにつながる可能性がある。なお、「Adobe ColdFusion」以外のパッチ適用優先度は最大でも「3」(各自の裁量で適用を推奨)だが、同社の公開したセキュリティアドバイザリを参照しながら、できるだけ早めの対処をおすすめする。