Adobe Auditionにクリティカルな脆弱性、Windows・macOS版の更新プログラムを公開しユーザーのセキュリティ確保へ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Adobe Auditionに重大な脆弱性が発見
Windows・macOS版の更新プログラムを公開
任意コード実行やメモリリークの危険性

Adobe Auditionの脆弱性対策アップデートがリリース

Adobeは2024年9月10日、Windows版およびmacOS版のAdobe Auditionに対するセキュリティアップデートをリリースした。このアップデートは、メモリリークや任意コード実行につながる可能性のある重大な脆弱性を解決するものだ。影響を受けるバージョンは、Adobe Audition 24.4.1以前のバージョンおよび23.6.6以前のバージョンである。^[1]

今回のセキュリティアップデートでは、2つの脆弱性が修正された。1つは「Out-of-bounds Write」（CVE-2024-39378）と呼ばれる重大な脆弱性で、任意のコード実行を引き起こす可能性がある。もう1つは「Out-of-bounds Read」（CVE-2024-41868）と呼ばれる重要な脆弱性で、メモリリークを引き起こす可能性があるという。

Adobeは、ユーザーに対してCreative Cloudデスクトップアプリケーションの更新メカニズムを通じて、最新バージョンへのインストールを推奨している。管理環境下にあるユーザーの場合、IT管理者がAdmin Consoleを使用してCreative Cloudアプリケーションをエンドユーザーに展開することが可能だ。

Adobe Auditionの脆弱性対策アップデートの詳細

	影響を受けるバージョン	更新後のバージョン	優先度	脆弱性の種類
Adobe Audition	24.4.1以前	24.6	3	任意コード実行、メモリリーク
Adobe Audition	23.6.6以前	23.6.9	3	任意コード実行、メモリリーク

CVSSについて

CVSSとは「Common Vulnerability Scoring System」の略称で、情報システムの脆弱性の深刻度を評価するための共通基準のことを指す。主な特徴として以下のような点が挙げられる。

0.0から10.0までの数値で脆弱性の深刻度を表現
攻撃の難易度や影響範囲などの要素を考慮して算出
ベーススコア、現状スコア、環境スコアの3種類がある

今回のAdobe Auditionの脆弱性では、CVSSベーススコアが7.8と5.5と評価されている。これは、ローカルでの攻撃が可能で、ユーザーの操作を必要とするが、影響が大きいことを示している。CVSSスコアは脆弱性の優先度を決定する上で重要な指標となり、組織のセキュリティ対策の方針決定に活用されている。

Adobe Auditionの脆弱性対策に関する考察

Adobe Auditionの脆弱性対策アップデートは、ユーザーのセキュリティを確保する上で非常に重要な施策だ。特に任意コード実行の脆弱性は、攻撃者によって悪用された場合、ユーザーのシステムに深刻な被害をもたらす可能性がある。Adobeが迅速に対応し、修正プログラムをリリースしたことは評価に値するだろう。

しかし、こうしたセキュリティアップデートの効果を最大限に発揮するためには、ユーザー側の迅速な対応も不可欠だ。多くの組織では、ソフトウェアのアップデートに時間がかかることがあり、その間脆弱性が悪用されるリスクが存在する。今後は、自動アップデート機能の強化や、重要度の高いセキュリティアップデートを優先的に適用する仕組みの導入が求められるだろう。

また、Adobeには今後もセキュリティ研究者との協力を継続し、脆弱性の早期発見と対策に努めることが期待される。同時に、ユーザー側も定期的なセキュリティチェックやアップデートの重要性を認識し、自らのシステムを守る意識を高めていく必要がある。セキュリティは、ソフトウェア開発者とユーザーの双方の努力によって初めて確保されるものだということを忘れてはならない。