お試しChatGPTレポート。だいぶまとまってきた気がする。
概要
2025年11月11日付のAdobe月例セキュリティ更新では、Photoshop/Illustrator/InDesign/InCopy/Illustrator(iPad)/Format Plugins/Substance 3D Stager/Adobe Passなど複数製品に対するセキュリティ修正が公開されました。今回はすべてPriority 3で分類されていますが、各製品で「任意コード実行」「メモリ露出」等の高影響の脆弱性(AdobeのRatingがCRITICALに相当、CVSS v3.1で7.8等)が多数含まれている点が重要です。
対象製品
Priority 3(2025-11-11公開分)
- Adobe InDesign(APSB25-106)
- Adobe InCopy(APSB25-107)
- Adobe Photoshop(APSB25-108)
- Adobe Illustrator(APSB25-109)
- Adobe Illustrator (iPad)(APSB25-111)
- Adobe Pass(APSB25-112)
- Adobe Substance 3D Stager(APSB25-113)
- Adobe Format Plugins(APSB25-114)
注目の脆弱性
以下は今回公開されたCVEのうち、影響度や日本企業での利用状況(Photoshop/Illustrator系は広く利用されるため重点)および公的脆弱性データベース(NVD 等)での整合を確認した上でピックアップしたものです。
CVE-2025-61818:Adobe InCopy における Use-After-Free(任意コード実行の可能性)
- Bulletin / 製品:APSB25-107(Adobe InCopy)
- Priority:3
- CVSSスコア (Rating):CVSS v3.1 ベース 7.8(出典:Adobe Bulletin, Tenable)
詳細
InCopy の複数バージョン(20.5 / 19.5.5 など)に存在する Use-After-Free の脆弱性で、悪意あるファイルの処理を通じてアプリケーションのメモリ不整合が発生し、任意コード実行に至る可能性があります。攻撃にはユーザーが細工したファイルを開く等の操作が必要ですが、InCopy は編集ワークフローで広く使われるため、業務環境でのリスクは無視できません。管理者はAdobeが提示する更新バージョンへ速やかに適用してください。
CVE-2025-61820:Adobe Illustrator における Heap-based Buffer Overflow(任意コード実行の可能性)
- Bulletin / 製品:APSB25-109(Adobe Illustrator)
- Priority:3
- CVSSスコア (Rating):CVSS v3.1 ベース 7.8(出典:Adobe Bulletin)
詳細
Illustrator(Windows/macOS 向)でのヒープベースのバッファオーバーフローにより、細工されたファイルを開いた場合に任意コード実行につながる可能性があります。Adobe は本件をCritical と評価しており、影響を受けるバージョンはIllustrator 2025/2024 の指定以前のバージョンです。業務でIllustratorを使用している場合、攻撃ベクタは「ユーザが悪意あるファイルを開く」パターンが多く、エンドユーザ教育と併せて最新版への更新が推奨されます。
CVE-2025-61826:Adobe Illustrator on iPad における Integer Underflow(任意コード実行の恐れ)
- Bulletin / 製品:APSB25-111(Adobe Illustrator on iPad)
- Priority:3
- CVSSスコア (Rating):CVSS v3.1 ベース 7.8(出典:Adobe Bulletin)
詳細
Illustrator on iPad における整数アンダーフローの脆弱性で、悪意あるコンテンツ処理によりアプリの挙動が破壊され、最終的に任意コード実行につながる可能性があります。モバイル版でも同様の致命的な影響があり得る点が注目されます。iPad を業務用途で利用し、Illustrator on iPad を導入している組織は、該当バージョン(3.0.9 以前)を確認し、Adobeが提供するアップデート(3.0.10 以降)を適用してください。
CVE-2025-61841:Adobe Format Plugins における Out-of-bounds Read(情報漏洩の可能性)
- Bulletin / 製品:APSB25-114(Adobe Format Plugins)
- Priority:3
- CVSSスコア (Rating):CVSS v3.1 ベース 5.5(Rating: Important/出典:Adobe Bulletin)
詳細
Format Plugins(1.1.1以前)に含まれる複数のアウト-オブ-バウンズ読み取りの脆弱性は、メモリの一部が露出することで機密情報の一部が外部に漏れる可能性があります。攻撃の本質はファイル処理時の不正参照で、直接の任意ード実行ほど致命的ではないものの、情報漏洩リスクがあるため、該当プラグインを利用するワークフローでは早めの更新が推奨されます。
参考情報
- Adobe PSIRT — Latest Product Security Updates
- APSB25-106: Adobe InDesign
- APSB25-107: Adobe InCopy
- APSB25-108: Adobe Photoshop
- APSB25-109: Adobe Illustrator
- APSB25-111: Adobe Illustrator on iPad
- APSB25-112: Adobe Pass
- APSB25-113: Adobe Substance 3D Stager
- APSB25-114: Adobe Format Plugins
- Tenable: CVE-2025-61818 (InCopy)
- NVD (National Vulnerability Database)