United States Computer Emergency Readiness Team (US-CERT)は12月8日(米国時間)、「Adobe Releases Security Updates for Multiple Products|CISA」において、Adobeが提供する複数の製品に脆弱性が存在し、同社がセキュリティアップデートをリリースしたことを伝えた。これらの脆弱性を悪用されると、攻撃者によって任意のコードの実行や機密情報の開示などが行われる危険性があるという。
アップデートが提供された製品と、それぞれの脆弱性に関する情報は次のページにまとめられている。
- Security Updates Available for Adobe Lightroom | APSB20-74
- Security updates available for Adobe Experience Manager | APSB20-72
- Security Updates Available for Adobe Prelude | APSB20-70
影響を受けるとされるプロダクトおよびバージョンを以下に挙げる。
- Lightroom Classic: 10.0以前(Windows版のみ)
- Adobe Experience Manager(AEM): AEM Cloud Service
- Adobe Experience Manager: 6.5.6.0以前
- Adobe Experience Manager: 6.4.8.2以前
- Adobe Experience Manager: 6.3.3.8以前
- Adobe Experience Manager: 6.2 SP1-CFP20以前
- AEM Forms add-on: AEM Forms Service Pack 6 add-on package for AEM 6.5.6.0
- AEM Forms add-on: AEM Forms add-on package for AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
- Adobe Prelude: 9.0.2
このうち、Adobe LightroomおよびAdobe Preludeにはそれぞれ深刻度が「緊急(Critical)」の脆弱性が1件ずつ、Adobe Experience Managerには深刻度「緊急(Critical)」の脆弱性が1件と「重大(Important)」の脆弱性が1件含まれているとのこと。
またCISAによるアドバイザリには、Adobe AcrobatおよびAcrobat Readerについても、今週中にAdobeがセキュリティアップデートを予定していることが含まれている。Adobe AcrobatとAcrobat Readerのアップデートに関しては次のセキュリティアドバイザリを参照していただきたい。このアドバイザリは実際にリリースが行われた際、脆弱性の情報を含んだものに置き換えられるとのことだ。
Cybersecurity and Infrastructure Security Agency (CISA)では、ユーザーおよび管理者に対し、Adobeが提供するセキュリティアドバイザリをチェックし、必要に応じてアップデートを適用することを推奨している。