米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月13日(米国時間)、「 Adobe Releases Security Updates for Multiple Products  |CISA」において、Adobeが複数の製品の脆弱性に対処するセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を放置すると、対象のシステム上で任意のコードを実行されるなどの被害を受ける可能性がある。

今回リリースされたセキュリティアップデートに関する情報は、Adobeによる次のページにまとめられている

  • Latest Product Security Updates

    Latest Product Security Updates

アップデートの対象となっているのはAcrobatを含む5製品で、具体的には次の製品およびバージョンが影響を受けるという。

  • Adobe Dimension 3.4以前のバージョン(WindowsおよびmacOS)
  • Adobe Illustrator 2021 25.2.3以前のバージョン(Windows)
  • Adobe Framemaker 2019 Update 8以前のバージョンおよび2020 Release Update 1以前のバージョン(Windows)
  • Acrobat DC 2021.005.20054以前のバージョン(WindowsおよびmacOS)
  • Acrobat Reader DC 2021.005.20054以前のバージョン(WindowsおよびmacOS)
  • Acrobat 2020.004.30005以前のバージョン(WindowsおよびmacOS)
  • Acrobat Reader 2020.004.30005以前のバージョン(WindowsおよびmacOS)
  • Acrobat 2017.011.30197以前のバージョン(WindowsおよびmacOS)
  • Acrobat Reader 2017.011.30197以前のバージョン(WindowsおよびmacOS)
  • Adobe Bridge 11.0.2以前のバージョン(Windows)

悪用された場合に想定される影響は脆弱性によって異なるが、特に深刻度が高いものとしては、AdrobatおよびAcrobat Readerにおける解放後のメモリ使用の脆弱性や境界外メモリへの書き込みの脆弱性、ヒープベースのバッファオーバーフローの脆弱性、OSコマンドインジェクションの脆弱性などが挙げられる。

アップデートの適用優先度は、AcrobatおよびAcrobat Readerが3段階中の優先度「2」で、一定の期間内にアップデートをインストールすることが推奨されている。そのほかの製品の優先度は3で、これは管理者の裁量によるアップデートが推奨されることを意味している。

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、Adobeによる上記のセキュリティ情報をチェックした上で、必要なアップデートを適用することを推奨している。