United States Computer Emergency Readiness Team (US-CERT)は11月10日(米国時間)、「Adobe Releases Security Updates for Multiple Products|CISA」において、Adobeが提供する複数の製品に脆弱性が存在し、同社がセキュリティアップデートをリリースしたと伝えた。対象の製品は「Adobe Connect」 と「Adobe Reader Mobile」で、脆弱性を放置するとクロスサイトスクリプティング(XSS)攻撃や情報漏洩などの被害に遭う危険性があるという。
それぞれの製品の脆弱性に関する情報は、Adobeによる次のセキュリティアドバイザリにまとめられている。
- Security updates available for Adobe Connect | APSB20-69
- Security update available for Adobe Reader Mobile | APSB20-71
Adobe Connectでは2件の脆弱性が報告されており、いずれもクロスサイトスクリプティング攻撃によってWebブラウザ上で任意のJavaScriptコードを実行できてしまうというもの。11.0以前のバージョンが影響を受ける。すでに修正が適用されたバージョン11.0.5がリリースされているが、具体的なアップデートのスケジュールは使用しているバージョンやライセンスによって異なる。詳細は下記のページを参照のこと。
Adobe Reader Mobileでは、アクセス制御の実装の問題に起因して情報漏洩につながる脆弱性が1件報告されている。影響を受けるバージョンは20.6以前で、バージョン20.9.0にアップデートすることで解消できる。
いずれの脆弱性も、重要度は3段階中の2番目に分類されている。アップデートを適用する優先度については3段階中でもっとも低い「3」とされている。これは緊急性を要するものではないが、任意のタイミングでのアップデートを推奨するもの。