ニュース

Adobe Creative Cloudで任意のファイルが削除できる脆弱性が修正

 米Adobeは24日、Windows版「Adobe Creative Cloud」のデスクトップアプリケーションのバージョン5.0以前に存在する脆弱性「Time-of-check to time-of-use race condition」(共通脆弱性識別子:CVE-2020-3808)を修正するパッチを緊急でリリースした。

 この脆弱性は、Time-of-check to time-of-use(TOCTOU)と呼ばれるソフトウェアのバグを利用したもので、いわば(セキュリティや権限などの)チェックが開始されたあとに、そのチェックが終わるまでに変更を加えることが可能になってしまうバグ。これにより、任意のファイルが削除される可能性がある。

 Adobeではこの脆弱性の危険度を最高のCriticalとして評価しており、すでに修正パッチを配布している。脆弱性の発見/修正には、中国の華南理工大学のJiadong Lu氏、およびQihoo 360 Core SecurityのZhiniang Peng氏が協力した。