United States Computer Emergency Readiness Team (US-CERT)は4月13日(米国時間)、「Adobe Releases Security Updates|CISA」において、AdobeがPhotoshopやAdobe Bridgeなど複数製品の脆弱性に対処するためのにセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって任意のコードが実行されたり、管理者権限を奪取されるなどの被害を受けたりするおそれがある。
アップデートが提供された製品と、それぞれの脆弱性に関する情報は、Adobeによる以下のセキュリティアドバイザリにまとめられている。
- Security updates available for Adobe Photoshop | APSB21-28
- Security Updates Available for Adobe Bridge | APSB21-23
- Security Updates Available for Adobe Digital Editions | APSB21-26
- Security update available for RoboHelp | APSB21-20
-
Security updates available for Adobe Photoshop | APSB21-28
Photoshopで報告されている脆弱性は、バッファオーバーフローが原因で現在のユーザのコンテキストで任意のコードの実行されるというもの。影響を受けるのは、Windows版およびmacOS版の、Photoshop 2020 バージョン21.2.6以前、およびPhotoshop 2021 バージョン22.3以前で、脆弱性の深刻度は「Critical(緊急)」とされている。
Adobe Bridgeには、範囲外のメモリ読み取りや不適切な承認の実装、メモリ破損、範囲外のメモリ書き込みといった4種類の脆弱性が報告されている。これらを悪用されると、機密情報の盗み出しや管理者権限の不正取得、任意のコード実行などといった被害を受けるおそれがある。影響を受けるのは、Windows版Adobe Bridge バージョン10.1.1以前およびバージョン11.0.1以前で、脆弱性の深刻度は2件が"Critical(緊急)"、残り2件が「Important(重要)」となっている。
Adobe Digital Editionsに報告されているのは特権昇格の脆弱性で、悪用されると攻撃者によってファイルシステムに対する任意の書き込みが行われる危険性があるという。影響を受けるのはmacOS版のAdobe Digital Editions バージョン4.5.11.187245以前で、脆弱性の深刻度は「Critical(緊急)」に分類されている。
RoboHelpの脆弱性は、パス検索の制御の不備によって特権昇格が可能になるというもの。影響を受けるのは、Windows版およびmacOS版のRoboHelp バージョンRH2020.0.3以前で、脆弱性の深刻度は「Important(重要)」となっている。
いずれの製品もアップデートの優先度は3段階中の3番目に分類されており、これは現時点で該当する脆弱性を利用した攻撃が確認されておらず、管理者の裁量でアップデートの適用を促すもの。ただし、脆弱性の深刻度はCriticalやImportantとなっているため、早急な対応が推奨される。
