この公開文書は「Potential Vulnerabilities in Adobe Audition*」の抄訳です。

リリース日: 2011 年 5 月 12 日

脆弱性識別番号: APSB11-10

CVE 番号: CVE-2011-0614、CVE-2011-0615

プラットフォーム: Windows

概要

Windows 版 Adobe Audition 3.0.1 以前のバージョンにおいて、クリティカルな脆弱性が確認されました。これらの脆弱性の 1 つが攻撃者に悪用されることにより、影響を受けたシステムにおいて悪意のあるコードが実行される可能性があります。攻撃者がこの脆弱性を悪用するためには、悪意のあるバイナリ Audition セッションファイル(.ses)をユーザーに開かせる必要があります。Audition セッションファイル(.ses)は旧バージョンのファイル形式で、最新の Adobe Audition CS5.5 ではサポートされておりません。弊社では、この脆弱性が悪用された事例は確認されていません。

影響を受けるソフトウェアとバージョン

Windows 版 Adobe Audition 3.0.1 以前

解決方法

弊社では、Adobe セッションファイル(.ses)の使用を中止し、XML セッション形式に移行することを強く推奨します。XML はバイナリ形式と比較して、多くの利点がある可読形式の電子エンコーディング文書です。Audition CS5.5 のリリースにおいて、Audition セッションファイル(.ses)形式はサポートされなくなりました。

重要度

アドビはこの問題をクリティカルな案件と分類し、対象製品をご利用のすべてのユーザーに、XML セッション形式への移行を推奨します。

詳細

Windows 版 Adobe Audition 3.0.1 以前のバージョンにおいて、クリティカルな脆弱性が確認されました。これらの脆弱性の 1 つが攻撃者に悪用されることにより、影響を受けたシステムにおいて悪意のあるコードが実行される可能性があります。攻撃者がこの脆弱性を悪用するためには、悪意のあるバイナリ Audition セッションファイル(.ses)をユーザーに開かせる必要があります。Audition セッションファイル(.ses)は旧バージョンのファイル形式で、最新の Adobe Audition CS5.5 ではサポートされておりません。弊社では、この脆弱性が悪用された事例は確認されていません。

.ses は、Adobe Audition CS5.5 ではサポートされていない、旧バージョン用のファイル形式です。かねてより弊社では、バイナリの Audition セッションファイル形式(.ses)から XML セッションファイル形式へ移行することを推奨しています。(詳細は、http://blogs.adobe.com/insidesound/2010/03/audition_xml_session_format.html* をご覧ください。)

このアップデートは、悪意のあるコードの原因になりかねないメモリ破損の問題を解消します。(CVE-2011-0614)

このアップデートは、悪意のあるコードの原因になりかねないメモリ破損の問題を解消します。(CVE-2011-0615)

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

Zero Scienece Lab の Gjoko Krstic 氏(CVE-2011-0614)

Core Security Technologies の Diego Juarez 氏、Eduardo Koch 氏、Laura Balian 氏(CVE-2011-0615)

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー