ニュース
PhotoshopやInDesignにも脆弱性~Adobe、Acrobat/ReaderやFlashなど同社ソフトウェア製品のセキュリティアップデートを公開
2017年11月15日 15:15
Adobe Systemsは14日、同社ソフトウェア製品の脆弱性を修正するセキュリティアップデートをリリースした。対象製品は「Acrobat/Acrobat Reader」「Flash Player」「Shockwave Player」「Photoshop CC」「InDesign CC」「Adobe Digital Editions」「DNG Converter」「Adobe Connect」「Adobe Experience Manager」。Adobeでは各製品のユーザーに対して、それぞれ最新バージョンへアップデートするよう推奨している。
脆弱性を修正したAcrobat/Acrobat Readerの最新バージョンは、「Acrobat DC」「Acrobat Reader DC」のContinuous Trackが「2018.009.20044」、同Classic Trackが「2015.006.30392」、「Acrobat 2017」「Acrobat Reader 2017」が「2017.011.30068」、「Acrobat XI」「Adobe Reader XI」が「11.0.23」。リモートからコードを実行される(RCE:Remote Code Execution)可能性のある脆弱性などを修正している。一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)によると、脆弱性を悪用したコンテンツをユーザーが開いた場合、リモートからの攻撃によってAcrobat/Acrobat Readerが不正終了したり、任意のコードが実行されたりする恐れがあるという。
なお、Acrobat 11.x/Adobe Reader 11.xについては、サポート期間が10月15日に終了している。今回のバージョン「11.0.23」が最後になるとしており、Adobeでは、ユーザーに対してAcrobat DC/Acrobat Reader DCの最新バージョンへのアップデートを強く推奨している。
Flash Playerの最新バージョンは「27.0.0.187」で、リモートからコードを実行される可能性のある脆弱性を修正している。JPCERT/CCによると、脆弱性を悪用したコンテンツをユーザーが開いた場合、リモートからの攻撃によって任意のコードが実行される恐れがあるという。
Shockwave Playerの最新バージョンは「12.3.1.201」。こちらも、リモートからコードが実行される可能性のある脆弱性を修正している。
Photoshop CCとInDesign CCの脆弱性も、リモートからコードが実行される可能性のあるものだ。「Photoshop CC 2017」ではバージョン「18.1.1(2017.1.1)」以前が影響を受けるため、最新バージョンである「18.1.2(2017.1.2)」、または「Photoshop CC 2018」バージョン「19.0(2018.0)」
へのアップデートを推奨している。InDesign CCではバージョン「12.1.0」以前が影響を受けるため、最新バージョン「13.0」へのアップデートを推奨している。
このほか、Adobe Digital Editions、DNG Converter、Adobe Connect、Adobe Experience Managerについても、それぞれ最新バージョンへのアップデートを推奨している。
なお、アップデートの適用優先度は、Acrobat/Reader、Flash PlayerのWindows/Mac版デスクトップランタイムおよびGoogle Chrome/Microsoft Edge/Internet Explorerに同梱のFlash Player、Shockwave Playerについて、3段階中で2番目に高い“Priority 2”とのレーティング。「近い将来に(例えば30日以内)適用すること」が推奨されている。
Flash PlayerのLinux版デスクトップランタイム、Photoshop CC、InDesign CC、Adobe Digital Editions、DNG Converter、Adobe Connect、Adobe Experience Managerについては3番目の“Priority 3”で、システム管理者が判断したタイミングでの適用が推奨されている。