1月のアドビの月例アップデート情報
1月14日はアドビの月例アップデート情報の公開日でした。今回はInDesignおよびInCopy、Illustratorなどのアップデート情報が公開されました。
いずれも「Critical」なので急いでアップデートする必要はありませんが、IllustratorとDreamweaverのCVSSスコアが高いのが気になります。あまり詳しくないので具体的にどうこうというのは言えないのですが。
今回InDesignでは、19.5.5(2024)以前のバージョン、および21.0(2026)以前のバージョン(これには20.xも含まれると思われる)に脆弱性があり、その修正を20.5.1(2025)および21.1(2026)で修正したということです。
つまり19.x(2024)は修正されず、脆弱性が残ったままサポートが終了したことになります。
「脆弱性が残ったままサポートが終了」
おや? これ前にも書いたような?
検索したらありました。11月にも書いてましたね。ちょっとややこしいので、今回のセキュリティ情報と11月のセキュリティ情報の2つを表にまとめました。
| InDesignバージョン | 11月の4件 | 1月の5件 |
|---|---|---|
| 19.5.5以前 | 脆弱性あり | 脆弱性あり |
| 20.0~20.5 | 脆弱性あり | 脆弱性あり |
| 20.5.1 | 修正済 | 修正済 |
| 21.0 | 修正済 | 脆弱性あり |
| 21.0.1、21.0.2 | 修正済 | ??? |
| 21.1 | 修正済 | 修正済 |
あれぇ? 今月のセキュリティ情報おかしいぞ。
いずれにせよ2023は少なくとも9件の脆弱性を残したままサポートが終了したことになります。ただいずれも、自分で悪意のあるプラグインをインストールしない限り被害にあうことはありませんので。
こういう現象は過去のバージョンでもたびたび発生しているので、2バージョン縛り(つまりサポート期間が2年)は短すぎるんだよな。