Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開

リリース日:2016 年 6 月 14 日

脆弱性識別番号: APSB16-21

優先度:3

CVE番号: CVE-2016-4157、CVE-2016-4158

プラットフォーム:Windows

概要

Windows 版の Creative Cloud デスクトップアプリケーションを対象としたセキュリティアップデートがリリースされました。このアップデートにより、Creative Cloud デスクトップアプリケーションのインストーラーにおける信頼性の低い検出パスの脆弱性と Creative Cloud デスクトップアプリケーションにおける引用符なしのサービスパス列挙の脆弱性が解消されます。

対象のバージョン

製品名 影響を受けるバージョン プラットフォーム
Creative Cloud デスクトップアプリケーション Creative Cloud 3.6.0.248 とそれ以前のバージョン Windows

解決方法

アドビは、このアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデート後のバージョン プラットフォーム 優先度評価
Creative Cloud デスクトップアプリケーション Creative Cloud 3.7.0.272 Windows  3

2016 年 6 月 13 日以降、Creative Cloud 3.7.0.272 が入手可能となります。詳しくは、https://www.adobe.com/jp/creativecloud/desktop-app.html をご覧ください。

マネージド環境の場合、IT 管理者はこちらに記載されているワークフローで説明されているように、Cloud Packager を使用して展開パッケージを作成できます。

Creative Cloud Packager の詳細については、こちらのヘルプページを参照してください。

脆弱性に関する詳細

  • このアップデートにより、コード実行の原因になりかねない、リソース検索に使用されるディレクトリ検索パスの脆弱性(CVE-2016-4157)が解消されます。 
  • このアップデートにより、Creative Cloud デスクトップアプリケーションにおける引用符なしのサービスパス列挙の脆弱性(CVE-2016-4158)が解消されます。

謝辞

これらの問題点を指摘し、ユーザーのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • MII - CAS 部の YoKo Kho および Dicky (@dickysOfficial) - CVE-2016-4157
  • Cyril Vallicari / Ug_0 Security およびセキュリティチーム(Netservice de Toekomst) - CVE-2016-4158