Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開

リリース日:2017 年 4 月 11 日

脆弱性識別番号: APSB17-13

優先度: 3

CVE 番号: CVE-2017-3006、CVE-2017-3007

プラットフォーム:Windows

概要

Windows 版の Creative Cloud デスクトップアプリケーションを対象としたセキュリティアップデートがリリースされました。 このアップデートでは、Creative Cloud デスクトップアプリケーションをインストールする際の不適切なリソースアクセス許可の使用に関連する重大な脆弱性を解決します(CVE-2017-3006)。このアップデートでは、リソースの検索に使用するディレクトリ検索パスに関連する脆弱性も解決します(CVE-2017-3007)。

対象のバージョン

製品名 影響を受けるバージョン プラットフォーム
Creative Cloud デスクトップアプリケーション Creative Cloud 3.9.5.353 とそれ以前のバージョン Windows

解決方法

アドビは、このアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデート後のバージョン プラットフォーム 優先度評価
Creative Cloud デスクトップアプリケーション Creative Cloud 4.0.0.185 とそれ以降のバージョン Windows  3

CVE-2017-3006 を解決するには、Creative Cloud デスクトップアプリケーションのバージョン 4.0.0.185 (またはそれ以降)を使用してインストールしたすべての Creative Cloud アプリケーションを更新(または再インストール)する必要があります。

Creative Cloud デスクトップアプリケーションを使用してログアウトしてからログインし直して、Creative Cloud デスクトップアプリケーションを最新バージョンに更新できます。Creative Cloud デスクトップアプリケーションを使用したログアウトおよびログインプロセスの詳細については、このヘルプページを参照してください。

マネージド環境の場合、IT 管理者はこちらに記載されているワークフローで説明されているように、Cloud Packager を使用して展開パッケージを作成できます。 Creative Cloud Packager の詳細については、こちらのヘルプページを参照してください。

脆弱性に関する詳細

  • このアップデートでは、Creative Cloud デスクトップアプリケーションをインストールする際の不適切なリソースアクセス許可の使用に関連する脆弱性を解決します(CVE-2017-3006)。
  • このアップデートにより、コード実行の原因になりかねない、リソース検索に使用されるディレクトリ検索パスに関する脆弱性(CVE-2017-3007)を解消します。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • John Page a.k.a. hyp3rlinx (CVE-2017-3006) 
  • John Carroll (CVE-2017-3007)