米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月9日(米国時間)、「Adobe Releases Security Updates for Multiple Products|CISA」において、AdobeがCreative Cloud Desktop Applicationなど3つの製品に対して脆弱性を修正するためのセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、第三者によって対象のシステムに対してサービス運用妨害(DoS)や任意のコード実行などの攻撃が行われるおそれがある。
今回セキュリティアップデートがリリースされた製品および修正された脆弱性に関する情報は、それぞれ次のセキュリティアドバイザリにまとめられている。
- Security hotfix available for RoboHelp Server | APSB21-87
- Security Update Available for Adobe InCopy | APSB21-110
- Security update available for Adobe Creative Cloud Desktop Application | APSB21-111
上記のうち、特に注意を要するのはRoboHelp Serverにおけるパストラバーサルの脆弱性(CVE-2021-43015)である。攻撃者は、この脆弱性を悪用して対象のシステムで任意のコードを実行することができるという。脆弱性の影響度は「Critical(致命的)」と評価されており、CVSS v3のベーススコアは8.8でとなっている。
-
Security hotfix available for RoboHelp Server
InCopyに含まれているCVE-2021-43015も影響度が「Critical(致命的)」の脆弱性である。これはバッファの範囲外のメモリ位置へのアクセスできてしまうことによる任意コード実行の脆弱性で、CVSS c3のベーススコアは7.8と評価されている。
いずれの脆弱性も、修正が施された最新版にアップデートすることで影響を回避することができる。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティ情報を確認した上で必要なアップデートを適用することを推奨している。
