【時間がない人向け】記事の3行要約
- Adobe製品の深刻な脆弱性を修正するセキュリティアップデートが公開
- After Effects、Photoshop、InDesignなど多数の製品に影響
- 脆弱性の悪用により、メモリリークや任意のコード実行などの被害が懸念
After EffectsとPhotoshopのセキュリティアップデートが公開
Adobe After EffectsとPhotoshopのセキュリティアップデートがリリースされた。「APSB24-09」と「APSB24-16」として識別されるこれらの更新プログラムは、メモリリークにつながる可能性のある重要な脆弱性に対処している。影響を受けるのはWindows版とmacOS版の両方だ。
アップデートの適用優先度は3段階中上から2番目の「重要」に分類されている。ユーザーはCreative Cloudデスクトップアプリの更新機能を使って最新版へのアップデートが推奨されており、管理された環境ではIT管理者がAdmin Consoleから一括適用できる。
脆弱性の深刻度はCVSS基本値が5.5で共通している。悪用された場合、現在のユーザーのコンテキストでメモリ内容が露出する可能性があるが、リモートからの任意のコード実行などには至らない模様だ。
Adobe CommerceとInDesignにもセキュリティ問題
Adobe CommerceとMagento Open Sourceにも、重大な脆弱性が見つかっている。「APSB24-18」で説明されるように、「認証なし」あるいは「管理者権限」で任意のコードが実行される恐れがあるという。該当するすべてのバージョンに対し、アップデートの優先度は最高レベルの「緊急」だ。
一方、Adobe InDesign(APSB24-20)では重要なメモリリークの欠陥が修正された。Windows版とmacOS版の両方に影響し、InDesignメニューの「更新」または管理ツールからのアップデートが必要とされている。
いずれのケースでも脆弱性の技術的な詳細は開示されておらず、アドビはユーザーに対してできるだけ早期の更新適用を呼び掛けている。特にAdobe Commerceを使う企業は、遅滞なくセキュリティホールを塞ぐ必要があるだろう。
Adobe Experience Managerの13件の脆弱性が修正
Adobe Experience Manager(AEM)についても、合計13件の重大な脆弱性に対処するアップデートが提供された。AEMのオンプレミス版とCloud Service版の両方が対象で優先度は3だ。
主な脆弱性はクロスサイトスクリプティングとセキュリティ機能のバイパスで、認証後の攻撃により任意のJavaScriptが実行される可能性がある。Cloud Service版は自動的に最新版に更新されるが、オンプレミス版は手動での適用が必要。
また、匿名ユーザーの権限を制限するためのApache Sling機能についても注意喚起がなされている。AEM管理者は、提示された設定例を参考にアクセス制御を見直すことが望ましい。
Adobe Animate、Media Encoder、Illustratorなどにも注意
Adobe Animateでは深刻度「重要」「緊急」の脆弱性が4件見つかり、メモリリークや任意コード実行、サービス運用妨害(DoS)などにつながる恐れがある。Windows版とmacOS版の両方が影響を受けるため、できるだけ早くアップデートを適用したい。
Adobe Media Encoder(APSB24-23)とIllustrator(APSB24-25)にも、メモリリークの欠陥が存在する。悪用されればユーザーのコンテキストで機密情報が漏洩するため、Creative Cloudからの更新が推奨される。
さらに、Adobe Bridgeでもメモリリークの脆弱性「CVE-2024-20771」への対処が行われた。優先度は3だが、放置すれば重大な情報流出事故につながりかねないだろう。
trends編集部「K」の一言
今回のAdobe製品の脆弱性は、クリエイターや企業に大きな影響を与える可能性があるだろう。特にAdobe Commerceの任意コード実行の欠陥は見過ごせず、ECサイトを運営する企業は、速やかにセキュリティパッチを適用する必要がある。アドビは脆弱性の詳細を公表していないが、修正の重要性は高いと言えるだろう。
クリエイター向けのツールであるAfter EffectsやPhotoshop、Illustratorなどでも、ゼロデイ攻撃への警戒が必要だ。メモリリークの脆弱性は一見すると深刻そうに見えないかもしれないが、攻撃者に足がかりを与える可能性は十分にある。最新版への更新は必須と言えるだろう。
AEMの脆弱性は、企業のWebサイトやWebアプリケーションのセキュリティに直結する問題だ。クロスサイトスクリプティングの脆弱性はサイト改ざんから機密情報の窃取まで、様々な攻撃に悪用される恐れがある。AEMを使う企業は、提供されたアップデートとセキュリティ設定の見直しを早急に行うべきだろう。
今回の一連の脆弱性を見ると、アドビ製品のセキュリティ品質管理に課題があるようにも感じられる。頻繁に深刻な脆弱性が見つかるようでは、企業は製品の選定を見直さざるを得ないかもしれない。アドビには開発プロセスでのセキュリティ対策強化が求められることだろう。
いずれにしても、ソフトウェアの脆弱性リスクから逃れることはできない。企業もクリエイターも日頃からセキュリティ情報に目を光らせ、アップデートを欠かさないことが重要だ。幸い、アドビはすべての脆弱性を迅速に修正しているようなので、今回の脆弱性対策が大きなセキュリティ事故の芽を摘むことを期待したい。
References
- ^ Adobe. 「 Adobe Security Bulletins and Advisories 」. https://helpx.adobe.com/security/security-bulletin.html, (参照 24-04-10).