米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月12日(米国時間)、「Adobe Releases Security Updates for Multiple Products|CISA」において、Adobeが複数の製品に対するセキュリティアップデートをリリースしたと伝えた。アップデートの対象となっているのは、Adobe Acrobat/Acrobat ReaderやAdobe Connect、Adobe Commerceなど6製品。
脆弱性の内容は製品によって異なるが、アップデートせずに放置すると、任意コードの実行や情報開示、セキュリティ機能のバイパス、クロスサイトスクリプティング(XSS)などといった攻撃に悪用される危険性がある。
今回アップデートの対象となっている製品のバージョンや、修正された脆弱性に関する情報は、製品ごととの以下のセキュリティアドバイザリに記載されている。
- Security update for Adobe Acrobat and Reader | APSB21-104
- Security update available for Adobe Connect | APSB21-91
- Security update available for Adobe Acrobat Reader for Android | APSB21-89
- Security update available for Adobe ops-cli | APSB21-88
- Security updates available for Adobe Commerce | APSB21-86
- Security updates available for Adobe Campaign Standard | APSB21-52
上記のうち、Acrobat/Acrobat Reader(APSB21-104)と、Adobe Connect、Adobe Commerce、Adobe Campaign Standardの4製品は、アップデートの優先度が3段階中の「2」に指定されており、できるだけ早くインストールすることが推奨されている。そのほかの脆弱性は優先度が3段階中の「3」が指定されており、これは管理者の裁量によってアップデートの実施を推奨することを意味している。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティ情報をチェックした上で必要に応じてアップデートを適用することを推奨している。