ニュース

「Flash Player」「Adobe Acrobat」などのセキュリティアップデート公開

リモートからコード実行可能な脆弱性を修正

 Adobe Systemsは8日、「Adobe Flash Player」「Adobe Acrobat/Reader」「Adobe Digital Editions」「Adobe Experience Manager」についてのセキュリティ情報を公開し、脆弱性を修正するセキュリティアップデートをリリースした。ユーザーに対して、アップデートを適用して最新バージョンに更新するよう推奨している。

 Flash Playerの最新バージョンは「26.0.0.151」。Windows/Mac OS/Linux向けのFlash Playerデスクトップラインタイムについては、Flash Playerのアップデート機能またはAdobeのダウンロードサイトからアップデートできる。Windows/Mac OS/Linux/Chrome OS用のGoogle ChromeおよびWindows 10/8.1用のMicrosoft Edge/Internet Explorer 11に同梱されているFlash Playerについては、各ブラウザーのアップデートによりFlash Playerも最新バージョンにアップデートされる。

 リモートから任意のコードを実行可能なType Confusion(型の取り違え)による脆弱性「CVE-2017-3106」は、危険度が3段階で最も高い“Critical”に分類。セキュリティバイパスによる情報漏えいの脆弱性「CVE-2017-3085」が3段階中で2番目の“Important”に分類されている。

 アップデート適用の優先度は、Linux版デスクトップランタイムを除き、3段階中で最も高い“Priority 1”。システム管理者によって直ちに適用されること(例えば72時間以内)が推奨されている。Linux版デスクトップランタイムは“Priority 3”で、システム管理者が判断したタイミングでの適用が推奨されている。

 Adobe Acrobat/Readerの最新バージョンは、Acrobat DC/Acrobat Reader DCのContinuous Trackが「2017.012.20093」、同Classic Trackが「2015.006.30352」、Acrobat 2017/Acrobat Reader 2017が「2017.011.30059」、Acrobat XI/Adobe Reader XIが「11.0.21」。Windows/Mac OSに対応する。

 修正される脆弱性は、CVE番号ベースで67件。うち43件が、危険度が最も高い“Critical”に分類。メモリ破損やヒープオーバーフローなどにより、リモートから任意のコードを実行可能なものが多数含まれる。アップデートの適用優先度は、3段階中で2番目の“Priority 2”で、「近い将来に(例えば30日以内)適用すること」が推奨されている。

 Adobe Digital Editionsの最新バージョンは「4.5.6」で、Windows/Mac OS/Android/iOSに対応。リモートから任意のコードを実行可能なバッファオーバーフローの脆弱性「CVE-2017-11274」と、XML外部エンティティにおける情報漏えいの脆弱性「CVE-2017-11272」の2件が、危険度が最も高い“Critical”に分類。メモリ破損の脆弱性7件が“Important”に分類されている。アップデート適用の優先度は“Priority 2”。

 Adobe Experience Managerの脆弱性は3件。うちバージョン「6.2」以降に影響のある「CVE-2017-3108」は危険度が3段階中2番目の“Important”に分類。「6.3」以降に影響のある「
CVE-2017-3107」と、「6.1」以降に影響のある「CVE-2017-3110」は3番目の“Moderate”に分類されている。アップデート適用の優先度は“Priority 2”で、「6.0」向けにもパッチが提供されている。