対象アプリケーション:
Adobe PhoneGap Build
某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Adobe PhoneGap Push Plugin に関するセキュリティアップデート公開 | APSB18-15
Adobe PhoneGap Push プラグインを対象としたアップデートが公開されました。このアップデートは、対象の Push プラグインのバージョンで作成された PhoneGap アプリケーションに存在する SOME (Same-Origin Method Execution) の脆弱性(CVE-2018-4943)を解決します。この脆弱性は、PhoneGap アプリケーションのユーザーを騙してクリックイベントなどの意図しないユーザー操作を実行させるために悪用されるおそれがあります。
アドビは、このアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
| 製品名 | 更新後のバージョン | プラットフォーム | 優先度評価 | 入手方法 |
|---|---|---|---|---|
| Adobe PhoneGap Push プラグイン | 2.1.0 | すべて | 3 | Github |
注意:
プラグインの最新バージョンに更新後、アプリケーション作成者は、新しいプラグインを使用して PhoneGap で作成したアプリケーションを再コンパイルしてください。
| 脆弱性のカテゴリー | 脆弱性の影響 | 重大度 | CVE 番号 |
|---|---|---|---|
| Same-Origin Method Execution | PhoneGap アプリケーションのコンテキストにおける JavaScript コード実行 | 重要 | CVE-2018-4943 |
この問題を指摘し、ユーザーの保護にご協力いただいた 2NS - Second Nature Security Oy の Juho Nurminen 氏(CVE-2018-4943)に対し、アドビより厚く御礼を申し上げます。