Adobe は、Acrobat、Reader、Photoshop のセキュリティ アップデートを公開しました。その多くは重要な修正です。
開発者によると、AcrobatとReaderのアップデートでは、PDFリーダーにおける24件のリモートコード実行脆弱性を含む、CVEリストに登録されている合計47件の脆弱性が修正されるという。Adobeは、これらのバグはまだ積極的に修正されていないと述べている。
Adobe: Flashの重大なセキュリティバグ2件を1件分の料金で修正
続きを読む
47件のCVEエントリのうち、13件は解放後使用(use-after-free)によるリモートコード実行のバグであり、さらに7件はヒープオーバーフローエラーによるリモートコード実行を許します。残りのリモートコード実行の脆弱性は、二重解放エラー(CVE-2018-4990)、境界外書き込みエラー(CVE-2018-4950)、型混乱エラー(CVE-2018-4953)、および信頼できないポインタ参照(CVE-2018-4987)です。
修正された脆弱性のうち、合計19件は境界外読み取りエラーによる情報漏洩の脆弱性であり、他の2件(CVE-2018-4994、CVE-2018-4979)はセキュリティバイパスの脆弱性です。その他の2件の情報漏洩の脆弱性は、NTLM SSOハッシュの盗難(CVE-2018-4993)とメモリ破損エラー(CVE-2018-4965)によるものです。
Acrobat および Reader DC の更新バージョンは 2018.011.20040 です。Acrobat 2017 および Acrobat Reader DC 2017 はバージョン 2017.011.30080 でパッチが適用されています。Acrobat Reader DC および Acrobat DC の「Classic 2015」バージョンは、アップデート 2015.006.30418 でパッチが適用されています。
一方、Photoshopは、境界外書き込みエラーによるリモートコード実行の脆弱性(CVE-2018-4946)を修正するアップデートを実施しました。この脆弱性の発見者は、トレンドマイクロのZero Day Initiativeを通じて報告された研究者Giwan Go氏です。
Photoshop CC 2018 (Mac 版と Windows 版の両方) を実行している場合はバージョン 19.1.4 をインストールし、Photoshop CC 2017 を使用している場合はバージョン 18.1.4 リリースをダウンロードする必要があります。
Adobeの今回の最新アップデートは、パッチ火曜日に合わせてFlashの修正パッチを予定通りリリースしてから1週間も経たないうちに配信されました。このアップデートには、MacとWindowsの両方でCreative Cloudのアップデートも含まれていました。®
