Adobe の 2024年8月アップデート:Acrobat/Illustrator/Photoshop などの脆弱性を修正

Adobe Calls Attention to Massive Batch of Code Execution Flaws

2024/08/13 SecurityWeek — 8月12日に Adobe は、複数の製品に存在する 72件のセキュリティ脆弱性に対する修正プログラムを公開し、コード実行/メモリ・リーク/サービス拒否攻撃の危険に、Windows/macOS ユーザーが直面していると警告した。今月の Adobe Patch Tuesday は、Acrobat/Acrobat Reader/Illustrator/Photoshop/InDesign/Commerce/Dimension などに存在する、深刻なセキュリティ欠陥に対処するものである。それらの脆弱性のうち、最も深刻なものが攻撃者に悪用されると、標的マシンの完全な制御が奪われる可能性があると、Adobe は警告している。


広く利用されている Adobe Acrobat/Reader に存在する、12件の脆弱性が文書化された。同社は、コード実行/特権の昇格/メモリリークなどの可能性があると警告している。影響を受けるバージョンには、Windows/macOS 用の Acrobat DC/Acrobat 2024/Acrobat 2020 が含まれる。

また、Adobe Illustrator にもメジャー・セキュリティ・アップデートが適用され、Windows/macOS のシステムにおいて、7件の文書化された脆弱性が修正された。致命的と評価された Illustrator の欠陥について、コード実行のリスクが生じると、Adobe は述べている。

以下は、今月の Adobe アップデートの詳細である:

Adobe Dimension
  • 影響を受けるバージョン:Adobe Dimension 3.4.11 以下
  • CVE-2024-34124/CVE-2024-34125/CVE-2024-34126/CVE-2024-20789/CVE-2024-20790/CVE-2024-41865
  • 影響:任意のコードの実行/メモリリーク
  • プラットフォーム:Windows/macOS
  • 推奨:Adobe Dimension バージョン 4.0.2 へのアップデート
Adobe Photoshop
  • 影響を受けるバージョン:Photoshop 2023 24.7.3 以下/Photoshop 2024 25.9.1 以下
  • CVE-2024-34117
  • 影響:任意のコード実行
  • プラットフォーム:Windows/macOS
  • 推奨:Photoshop 2023 24.7.4/ Photoshop 2024 25.11 へのアップデート
Adobe InDesign
  • 影響を受けるバージョン:InDesign ID 19.4 以下/InDesign ID 18.5.2 以下
  • CVE-2024-39389/CVE-2024-39390/CVE-2024-39391/CVE-2024-41852/CVE-2024-41853/CVE-2024-39393/CVE-2024-39394/CVE-2024-41850/CVE-2024-41851/CVE-2024-39395/CVE-2024-3412/CVE-2024-41854/CVE-2024-41866
  • 影響:任意のコードの実行/メモリリーク/アプリケーションのサービス拒否
  • プラットフォーム:Windows/macOS
  • 推奨:InDesign ID19.5/InDesign ID18.5.3 へのアップデート
Adobe Bridge
  • 影響を受けるバージョン:Bridge 13.0.8 以下/Bridge 14.1.1 以下
  • CVE-2024-39386/CVE-2024-39387/CVE-2024-41840
  • 影響:任意のコード実行/メモリリーク
  • プラットフォーム:Windows/macOS
  • 推奨:Bridge 13.0.9/Bridge 14.1.2 へのアップデート
Adobe Substance 3D Stager
  • 影響を受けるバージョン:Substance 3D Stager 3.0.2 以下
  • CVE-2024-39388
  • 影響:任意のコードの実行
  • プラットフォーム:Windows/macOS
  • 推奨:Substance 3D Stager バージョン 3.0.3 へのアップデート
Adobe Commerce
  • 影響を受けるバージョン:Adobe Commerce バージョン 2.4.7-p1/2.4.7-p1 以下
  • CVE-2024-39397/CVE-2024-39398/CVE-2024-39399/CVE-2024-39400/CVE-2024-39401/CVE-2024-39402/CVE-2024-39403/CVE-2024-39406/CVE-2024-39404/CVE-2024-39405/CVE-2024-39407/ CVE-2024-39408/CVE-2024-39409/CVE-2024-39410/CVE-2024-39411/CVE-2024-39412/CVE-2024-39413/CVE-2024-39414/CVE-2024-39415/CVE-2024-39416/CVE-2024-39417/CVE-2024-39418/CVE-2024-39419
  • 影響:任意のコードの実行/権限の昇格/セキュリティ機能のバイパス
  • プラットフォーム :すべて
  • 推奨:最新の Adobe Commerce/Magento Open Source へのアップデート
Adobe InCopy
  • 影響を受けるバージョン:InCopy 19.4 以下/InCopy 18.5.2 以下
  • CVE-2024-41858
  • 影響:任意のコード実行
  • プラットフォーム:Windows/macOS
  • 推奨:InCopy バージョン 19.5/18.5.3 へのアップデート
Adobe Substance 3D Sampler
  • 影響を受けるバージョン:Substance 3D Sampler 4.5 以下
  • CVE-2024-41860/CVE-2024-41861/CVE-2024-41862/CVE-2024-41863
  • 影響:任意のコード実行/メモリリーク
  • プラットフォーム:すべて
  • 推奨:Substance 3D Sampler 4.5.1 へのアップデート
Adobe Substance 3D Designer
  • 影響を受けるバージョン:Substance 3D Designer 13.1.2 以下
  • CVE-2024-41864
  • 影響:任意のコード実行
  • プラットフォーム:すべて
  • 推奨:Substance 3D Designer 13.1.3 へのアップデート

上記の文書化された脆弱性について、パッチ提供前に悪用されたことは認識していないと、Adobe は述べている。

今月の Adobe は盛り沢山ですね。数えてはいませんが、CVE の件数だけでも、たいへんなものです。とにかく、パッチを当てれば、すべてが消えていきますので、早めにご対応ください。よろしければ、Adobe で検索も、ご利用ください。