リリース日:2016年4月12日

脆弱性識別番号: APSB16-11

優先度:2

CVE番号:CVE-2016-1034

プラットフォーム:Windows および Macintosh

概要

Windows 版および Macintosh 版の Creative Cloud デスクトップアプリケーションを対象としたセキュリティアップデートが公開されました。このアップデートでは、クライアントのファイルシステム上のファイルをネット経由で読み書きして悪用する可能性のある Creative Cloud ライブラリに関する同期プロセスの重大な脆弱性を解決します。

対象のバージョン

製品名 影響を受けるバージョン プラットフォーム
Creative Cloud デスクトップアプリケーション Creative Cloud 3.5.1.209 以前 Windows および Macintosh

解決策

アドビは、このアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデート後のバージョン プラットフォーム 優先度評価
Creative Cloud デスクトップアプリケーション Creative Cloud 3.6.0.244 Windows および Macintosh 2

Creative Cloud ユーザーはアプリケーションのアップデートメカニズムを介してアップデートを適用できます。詳しくは、https://www.adobe.com/jp/creativecloud/desktop-app.html をご覧ください。

マネージド環境の場合、IT 管理者はこちらに記載されているワークフローで説明されているように、Cloud Packager を使用して展開パッケージを作成できます。

Creative Cloud Packager の詳細については、こちらのヘルプページを参照してください。

脆弱性に関する詳細

このアップデートでは、クライアントのファイルシステム上のファイルをネット経由で読み書きして悪用する可能性のある Creative Cloud ライブラリに関する JavaScript API の脆弱性を解決します (CVE-2016-1034)。

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • カリフォルニア大学バークレー校の Roger Chen 氏、および Trend Micro 社の ZDI と協力する Lokihardt 氏によって自主的に開示されました(CVE-2016-1034)。