この公開文書は「Security updates available for Adobe Reader and Acrobat*」の抄訳です。

リリース日: 2011 年 4 月 21 日

脆弱性識別番号: APSB11-08

CVE 番号: CVE2011-0611、CVE2011-0610

プラットフォーム: すべてのプラットフォーム

概要

Windows、Macintosh 版 の Adobe Reader X/Acrobat X(10.0.2)以前のバージョン(10.x、9.x)において、クリティカルな脆弱性が存在することが確認されました。セキュリティ情報 APSB11-02 に記載されております、この脆弱性(CVE-2011-0611)が悪用されることにより、強制終了が発生する、または影響を受けたシステムが攻撃者によって制御される可能性があります。 電子メールに添付された Microsoft Word(.doc)または Microsoft Excel(.xls)のファイルに埋め込まれている Flash ファイル(.swf)を経由して、Windows プラットフォームを対象として脆弱性の悪用事例が報告されているのと同様に、Adobe Flash Player、Adobe Reader、Acrobat を対象として、この脆弱性の 1 つ(CVE-2011-0611)が広く悪用されているという報告を受けています。なお、Adobe Reader X の保護モードによって、この脆弱性を対象とした攻撃は阻止されます。

Macintosh 版 Adobe Reader X(10.0.2)を使用している場合は、Adobe Reader X(10.0.3)にアップデートすることを推奨します。また、Windows、Macintosh 版 Adobe Reader 9.4.3 については、9.4.4 アップデートを提供しています。Windows、Macintosh 版 Adobe Acrobat X(10.0.2)を使用している場合は、Adobe Acrobat X(10.0.3)にアップデートすることを推奨します。Windows、Macintosh 版 Adobe Acrobat 9.4.3 を使用している場合は、9.4.4 にアップデートすることを推奨します。CVE-2011-0611 を悪用した攻撃は、Adobe Reader X の保護モードによって阻止されるため、Windows 版 Adobe Reader X における問題の修正については、2011 年 6 月 14 日に予定されている次回クォータリーアップデートにて実施する予定です。今回のリリースは、定例外セキュリティアップデートです。

影響を受けるソフトウェアとバージョン

  • Windows 版 Adobe Reader X(10.0.1)以前のバージョン
  • Macintosh 版 Adobe Reader X(10.0.2)以前のバージョン
  • Windows、Macintosh 版 Adobe Acrobat X(10.0.2)以前のバージョン

注意: UNIX 版 Adobe Reader 9.x、Android 版 Adobe Reader、および Adobe Reader 8/Acrobat 8 については、この脆弱性(CVE-2011-0611)の影響を受けません。

解決方法

以下の操作を行い、ソフトウェアのアップデートを行うことを推奨します。

Adobe Reader

Windows版、Macintosh版をお使いのユーザ様は、製品のアップデート機能からもアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、ヘルプメニューの「アップデートの有無をチェック」から手動でアップデートを確認することもできます。

Windows 版 Adobe Reader 9.x  に対するアップデータ(バージョン 9.4.4)は以下のURLにて公開しています。

http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows*

Macintosh版 Adobe Reader に対するアップデータ(バージョン 10.0.3/9.4.4)は以下のURLにて公開しています。

http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh*

CVE-2011-0611 を悪用した攻撃は、Adobe Reader X の保護モードによって阻止されるため、Windows 版 Adobe Reader X における問題の修正については、2011 年 6 月 14 日に予定されている次回クォータリーアップデートにて実施する予定です。

Adobe Acrobat

Windows版、Macintosh版をお使いのユーザ様は、製品のアップデート機能からもアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、ヘルプメニューの「アップデートの有無をチェック」から手動でアップデートを確認することもできます。

Windows版 Acrobat Standard、Pro に対するアップデータ(バージョン 10.0.3/9.4.4)は以下のURLにて公開しています。

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*

Windows版 Acrobat Pro Extended に対するアップデータ(バージョン 9.4.4)は以下のURLにて公開しています。

http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows*

Macintosh版 Acrobat Pro に対するアップデータ(バージョン 10.0.3/9.4.4)は以下のURLにて公開しています。

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*

重要度

アドビはこの問題をクリティカルな案件と分類し、対象製品をご利用のすべてのユーザーにアップデートの適用を推奨します。

詳細

Windows、Macintosh 版 の Adobe Reader X/Acrobat X(10.0.2)以前のバージョン(10.x、9.x)において、クリティカルな脆弱性が存在することが確認されました。セキュリティ情報 APSB11-02 に記載されております、この脆弱性(CVE-2011-0611)が悪用されることにより、強制終了が発生する、または影響を受けたシステムが攻撃者によって制御される可能性があります。 電子メールに添付された Microsoft Word(.doc)または Microsoft Excel(.xls)のファイルに埋め込まれている Flash ファイル(.swf)を経由して、Windows プラットフォームを対象として脆弱性の悪用事例が報告されているのと同様に、Adobe Flash Player、Adobe Reader、Acrobat を対象として、この脆弱性の 1 つ(CVE-2011-0611)が広く悪用されているという報告を受けています。なお、Adobe Reader X の保護モードによって、この脆弱性を対象とした攻撃は阻止されます。

Macintosh 版 Adobe Reader X(10.0.2)を使用している場合は、Adobe Reader X(10.0.3)にアップデートすることを推奨します。また、Windows、Macintosh 版 Adobe Reader 9.4.3 については、9.4.4 アップデートを提供しています。Windows、Macintosh 版 Adobe Acrobat X(10.0.2)を使用している場合は、Adobe Acrobat X(10.0.3)にアップデートすることを推奨します。Windows、Macintosh 版 Adobe Acrobat 9.4.3 を使用している場合は、9.4.4 にアップデートすることを推奨します。CVE-2011-0611 を悪用した攻撃は、Adobe Reader X の保護モードによって阻止されるため、Windows 版 Adobe Reader X における問題の修正については、2011 年 6 月 14 日に予定されている次回クォータリーアップデートにて実施する予定です。今回のリリースは、定例外セキュリティアップデートです。

(注意: Android 版 Adobe Reader はこれらの脆弱性の影響を受けません。)

このアップデートは、コード実行の原因になりかねないメモリ破損の脆弱性を解消します。(CVE-2011-0611)

このアップデートは、コード実行の原因になりかねない、CoolType ライブラリ内のメモリ破損の脆弱性を解消します。(CVE-2011-0610)

注意: 弊社では、CVE-2011-0610 の脆弱性を対象とした悪用の事例は確認されていません。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー