Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Adobeがアップデートを公開 - 7製品に脆弱性

Adobe Systemsは、「Adobe Photoshop」や「Adobe Illustrator」など複数製品向けに脆弱性へ対処したセキュリティアップデートをリリースした。

対象プラットフォームは、製品によって異なるが、「Adobe Campaign Classic」「Adobe Bridge」「Adobe Photoshop」「Adobe Illustrator」「Adobe Animate」「Adobe InCopy」「Adobe Captivate」など7製品向けにセキュリティアップデートやホットフィクスをリリースしたもの。

「Adobe Captivate」を除き、各製品には重要度が3段階中もっとも高い「クリティカル(Critical)」とされる脆弱性が存在し、悪用されるとコードを実行されるおそれがある。「Adobe Bridge」では域外メモリへの書き込み、「Adobe Photoshop」ではヒープバッファオーバーフローが判明。また「Adobe Illustrator」「Adobe Animate」「Adobe InCopy」では検索パスに問題があり、意図しないファイルを読み込む可能性がある。

一方「Adobe Campaign Classic」では、情報漏洩が生じるおそれがある「サーバサイドリクエストフォージェリ(SSRF)」の脆弱性が明らかとなった。また「Adobe Captivate」には、1段階低い「重要(Important)」とされる権限昇格の脆弱性が含まれる。いずれも脆弱性の悪用は確認されていない。

適用優先度を見ると、「Adobe Campaign Classic」に関しては3段階中2番目にあたる「2」にレーティングされており、30日以内を目安にアップデートが呼びかけられている。他製品に関してはもっとも低い「3」としており、任意のタイミングで更新するよう求めている。

CVE-2021-21006(Adobe Photoshop)
CVE-2021-21007(Adobe Illustrator)
CVE-2021-21008(Adobe Animate)
CVE-2021-21009(Adobe Campaign Classic)
CVE-2021-21010 (Adobe InCopy)
CVE-2021-21011(Adobe Captivate)
CVE-2021-21012(Adobe Bridge)
CVE-2021-21013(Adobe Bridge)

(Security NEXT - 2021/01/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Tomcat」に脆弱性 - 2月までの更新で修正済み
SonicWallのVPN製品に複数の脆弱性 - アップデートが公開
米政府、「CVE-2022-26925」を緊急対応リストから一時削除 - DCへの影響で
「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
トレンド製「スマートホームスキャナー」のインストーラに脆弱性 - 最新版の利用を
Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘
「BIG-IP」脆弱性に注意 - 実証コード公開済み、探索や悪用も
「Chrome 101.0.4951.64」がリリース - 13件のセキュリティ修正を実施
Adobe、「Framemaker」「InDesign」など5製品でセキュリティ更新
2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に