Creative Cloud デスクトップアプリケーション用のセキュリティアップデート公開 | APSB18-12
情報 ID 公開日 優先度
APSB18-12 2018 年 5 月 8 日 2

要約

Windows 版および MacOS 版の Creative Cloud デスクトップアプリケーションを対象としたセキュリティアップデートが公開されました。 このアップデートでは、Creative Cloud デスクトップアプリケーションで使用する証明書の検証の脆弱性(CVE-2018-4991)、および権限の昇格の原因になりかねない不適切な入力検証の脆弱性(CVE-2018-4992)が解決されます。

影響を受けるバージョン

製品名 影響を受けるバージョン プラットフォーム
Creative Cloud デスクトップアプリケーション

4.4.1.298 とそれ以前のバージョン

Windows および MacOS

Adobe Creative Cloud デスクトップアプリケーションのバージョンを確認するには、以下の手順を実行します。

  1. Creative Cloud デスクトップアプリケーションを起動し、Adobe ID を使用してログインします。
  2. 歯車アイコンをクリックし、環境設定/一般を選択します。

解決策

アドビは、このアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデート後のバージョン プラットフォーム 優先度評価 入手方法
Creative Cloud デスクトップアプリケーション Creative Cloud 4.5.0.331 Windows および MacOS 2 ダウンロードセンター

自動更新を有効にしているお客様は新しいバージョンを自動的にお受け取りいただけます。 最新の Creative Cloud デスクトップアプリケーションは、ダウンロードセンターからダウンロードすることもできます。詳細については、こちらのヘルプページを参照してください。

マネージド環境の場合、IT 管理者は Creative Cloud Packager を使用して展開パッケージを作成できます。 Creative Cloud Packager の詳細については、こちらのヘルプページを参照してください。

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
不適切な入力検証 権限昇格 重要 CVE-2018-4992
不適切な証明書検証 セキュリティバイパス クリティカル CVE-2018-4991
引用符で囲まれていない検索パス 権限昇格 重要 CVE-2018-4873

注意:CVE-2018-4873 は、以前に Creative Cloud デスクトップアプリケーションのバージョン 4.3.0.256 で解決済みです。

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Tencent Xuanwu Lab の Wei Wei 氏(@Danny__Wei)(CVE-2018-4992)
  • Talon Voice & Chi Chou の Ryan Hileman 氏(CVE-2018-4991)
  • Cyril Vallicari / HTTPCS – Ziwit (CVE-2018-4873)