Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Adobeがアップデートを公開 - 7製品に脆弱性

Adobe Systemsは、「Adobe Photoshop」や「Adobe Illustrator」など複数製品向けに脆弱性へ対処したセキュリティアップデートをリリースした。

対象プラットフォームは、製品によって異なるが、「Adobe Campaign Classic」「Adobe Bridge」「Adobe Photoshop」「Adobe Illustrator」「Adobe Animate」「Adobe InCopy」「Adobe Captivate」など7製品向けにセキュリティアップデートやホットフィクスをリリースしたもの。

「Adobe Captivate」を除き、各製品には重要度が3段階中もっとも高い「クリティカル(Critical)」とされる脆弱性が存在し、悪用されるとコードを実行されるおそれがある。「Adobe Bridge」では域外メモリへの書き込み、「Adobe Photoshop」ではヒープバッファオーバーフローが判明。また「Adobe Illustrator」「Adobe Animate」「Adobe InCopy」では検索パスに問題があり、意図しないファイルを読み込む可能性がある。

一方「Adobe Campaign Classic」では、情報漏洩が生じるおそれがある「サーバサイドリクエストフォージェリ(SSRF)」の脆弱性が明らかとなった。また「Adobe Captivate」には、1段階低い「重要(Important)」とされる権限昇格の脆弱性が含まれる。いずれも脆弱性の悪用は確認されていない。

適用優先度を見ると、「Adobe Campaign Classic」に関しては3段階中2番目にあたる「2」にレーティングされており、30日以内を目安にアップデートが呼びかけられている。他製品に関してはもっとも低い「3」としており、任意のタイミングで更新するよう求めている。

CVE-2021-21006(Adobe Photoshop)
CVE-2021-21007(Adobe Illustrator)
CVE-2021-21008(Adobe Animate)
CVE-2021-21009(Adobe Campaign Classic)
CVE-2021-21010 (Adobe InCopy)
CVE-2021-21011(Adobe Captivate)
CVE-2021-21012(Adobe Bridge)
CVE-2021-21013(Adobe Bridge)

(Security NEXT - 2021/01/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

スマホアプリ「ぐるなび」に脆弱性 - 任意サイトへの誘導に悪用されるおそれ
「Chrome 89.0.4389.128」で脆弱性2件を修正 - いずれもエクスプロイトの報告あり
「Adobe Bridge」や「Photoshop」など複数Adobe製品に深刻な脆弱性
MS、月例セキュリティ更新で脆弱性108件に対応 - 一部でゼロデイ攻撃も
NEC製ルータ「Atermシリーズ」の複数製品に脆弱性
「Okta Access Gateway」にコマンドインジェクションの脆弱性
「Cisco SD-WAN vManage」に深刻な脆弱性 - アップデートが公開
一部シスコ製小規模向けVPNルータに深刻なRCE脆弱性
制御システム監視制御ソフト「ScadaBR」に脆弱性
「Aruba Instant」に複数の深刻な脆弱性