Adobe InDesignにセキュリティアップデート、任意のコード実行の脆弱性に対処

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
Adobe InDesignのセキュリティアップデート公開
Adobe InDesignセキュリティアップデートの詳細
CVSSについて
Adobe InDesignのセキュリティアップデートに関する考察
参考サイト

記事の要約

Adobe InDesignのセキュリティアップデートを公開
任意のコード実行や情報漏洩などの脆弱性に対処
Windows/macOS版のID19.5とID18.5.3にアップデートを推奨

Adobe InDesignのセキュリティアップデート公開

Adobeは2024年8月13日、デスクトップパブリッシングソフトウェアAdobe InDesignのセキュリティアップデートを公開した。このアップデートは重大度が「Critical」「Important」「Moderate」に分類される複数の脆弱性に対処するものだ。悪用された場合、任意のコード実行やメモリリーク、アプリケーションのサービス拒否などの深刻な問題につながる可能性がある。^[1]

影響を受けるバージョンは、Windows版およびmacOS版のInDesign ID19.4以前と、ID18.5.2以前だ。Adobeは該当するユーザーに対し、Creative Cloudデスクトップアプリのアップデーター経由で、もしくはInDesignのヘルプメニューから「アップデート」をクリックしてソフトウェアを最新版に更新することを推奨している。

今回のセキュリティアップデートにおける脆弱性の深刻度は、CVSSベーススコアで最大7.8と評価されている。具体的には、スタックベースのバッファオーバーフロー、範囲外書き込み、ヒープベースのバッファオーバーフロー、範囲外読み取りなどの脆弱性が確認されており、これらはいずれも任意のコード実行につながる可能性がある重大な問題だ。

Adobe InDesignセキュリティアップデートの詳細

	影響を受けるバージョン	更新後のバージョン	プラットフォーム	優先度
Adobe InDesign	ID19.4以前	ID19.5	Windows/macOS	3
Adobe InDesign	ID18.5.2以前	ID18.5.3	Windows/macOS	3

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標のことを指す。主な特徴として以下のような点が挙げられる。

脆弱性の影響度を0.0から10.0の数値で表現
攻撃の容易さや影響範囲などの要素を考慮して算出
セキュリティ対策の優先順位付けに活用される

今回のAdobe InDesignのセキュリティアップデートでは、最も深刻な脆弱性のCVSSベーススコアが7.8と評価されている。このスコアは、ローカルからの攻撃で、特権昇格なしに、ユーザーの操作を必要とする条件下で、機密性・完全性・可用性のすべてに高い影響を与える可能性があることを示している。

Adobe InDesignのセキュリティアップデートに関する考察

Adobe InDesignのセキュリティアップデートは、デスクトップパブリッシング業界で広く使用されているソフトウェアの安全性を高める重要な対応だ。特に任意のコード実行につながる脆弱性の修正は、ユーザーデータの保護やシステムの安定性維持の観点から非常に価値がある。一方で、こうした重要なアップデートの適用が遅れることで、攻撃者に悪用される危険性が高まる可能性がある。

今後の課題として、セキュリティアップデートの自動適用やユーザーへの通知方法の改善が考えられる。多くのユーザーが業務で使用するソフトウェアであるため、アップデート適用による作業の中断や互換性の問題が懸念される。これらの課題に対しては、バックグラウンドでのアップデートダウンロードや、ユーザーの作業に支障を来さない時間帯での適用など、より柔軟なアップデート方法の導入が解決策となるだろう。

長期的には、Adobe InDesignのセキュリティ強化に向けた継続的な取り組みが期待される。コードの品質向上や、セキュリティテストの強化、さらには脆弱性報告プログラムの拡充などが考えられる。また、ユーザー側のセキュリティ意識向上も重要だ。Adobeには、セキュリティアップデートの重要性を啓発する取り組みや、より分かりやすいセキュリティ情報の提供を期待したい。