この公開文書は「Security updates available for Adobe Reader and Acrobat*」の抄訳です。
リリース日 : 2011 年 9 月 13 日
最終更新日: 2011 年 10 月 21 日
脆弱性識別番号 : APSB11-24
CVE 番号 : CVE-2011-1353、CVE-2011-2431、 CVE-2011-2432、CVE-2011-2433、CVE-2011-2434、CVE-2011-2435、CVE-2011-2436、CVE-2011-2437、CVE-2011-2438、CVE-2011-2439、CVE-2011-2440、CVE-2011-2441、CVE-2011-2442
プラットフォーム : すべてのプラットフォーム
概要
Windows、Macintosh 版 Adobe Reader X(10.1)以前のバージョン、UNIX 版 Adobe Reader 9.4.2 以前のバージョン、および Windows、Macintosh 版 Adobe Acrobat X(10.1)以前のバージョンにおいて、クリティカルな問題が確認されました。この脆弱性が悪用されることにより、強制終了が発生するか、または影響を受けたシステムが攻撃者によって制御される可能性があります。
Windows、Macintosh 版 Adobe Reader X(10.1)以前のバージョンを使用するすべてのユーザーに対して、Adobe Reader X(10.1.1)にアップデートすることを推奨します。Windows、Macintosh 版 Adobe Reader 9.4.5 以前のバージョンを使用していて、Adobe Reader X(10.1.1)にアップデートできないお客様向けに、Adobe Reader 9.4.6 および Adobe Reader 8.3.1 を提供しています。Windows、Macintosh 版 Adobe Acrobat X(10.1)以前のバージョンを使用するすべてのユーザーに対して、Adobe Acrobat X(10.1.1)へのアップデートすることを推奨します。Windows、Macintosh 版 Adobe Acrobat 9.4.5 以前のバージョンを使用している場合は、Acrobat 9.4.6 に、Windows、Macintosh 版 Adobe Acrobat 8.3 以前のバージョンを使用している場合は Acrobat 8.3.1 にアップデートすることを推奨します。UNIX 版 Adobe Reader 9.4.6 については、2011 年 11 月 7 日(米国時間)に提供を開始する予定です。
次回の Adobe Reader および Acrobat 用のクォータリーセキュリティアップデートは、2012 年 1 月 10 日(米国時間)に予定されています。
注意 : Windows、Macintosh 版 Adobe Reader 8.x および Acrobat 8.x のサポートは、2011 年 11 月 3 日に終了します。詳細については、Adobe Reader and Acrobat 8 End of Supportを参照してください。
影響を受けるソフトウェアとバージョン
- Windows、Macintosh 版 Adobe Reader X(10.1)以前のバージョン
- Windows、Macintosh、UNIX 版 Adobe Reader 9.4.5 以前のバージョン
- Windows、Macintosh 版 Adobe Reader 8.3 以前のバージョン
- Windows、Macintosh 版 Adobe Acrobat X(10.1)以前のバージョン
- Windows、Macintosh 版 Adobe Acrobat 9.4.5 以前のバージョン
- Windows、Macintosh 版 Adobe Acrobat 8.3 以前のバージョン
解決方法
Adobe Reader
Windows および Macintosh 場合は、製品の自動アップデート機能からアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、[ヘルプ] メニューの [アップデートの有無をチェック] から手動でアップデートを確認することもできます。各製品のアップデーターは下記の URL で公開されています。
- Windows 版 Adobe Reader
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows - Macintosh 版 Adobe Reader
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Adobe Acrobat
製品の自動アップデート機能からアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、[ヘルプ] メニューの [アップデートの有無をチェック] から手動でアップデートを確認することもできます。各製品のアップデーターは下記の URL で公開されています。
- Windows 版 Acrobat Standard/Pro
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows - Windows 版 Acrobat Pro Extended
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows - Windows 版 Acrobat 3D
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows - Macintosh 版 Acrobat Pro
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
UNIX 版 Adobe Reader 9.4.6 については、2011 年 11 月 7 日(米国時間)に提供を開始する予定です。
緊急度
アドビは、この問題をクリティカルな案件として分類し、上記の解決方法に従ってアップデートを適用することを推奨します。
詳細
Windows、Macintosh 版 Adobe Reader X(10.1)以前のバージョン、UNIX 版 Adobe Reader 9.4.2 以前のバージョン、および Windows、Macintosh 版 Adobe Acrobat X(10.1)以前のバージョンにおいて、クリティカルな問題が確認されました。この脆弱性が悪用されることにより、強制終了が発生するか、または影響を受けたシステムが攻撃者によって制御される可能性があります。
Windows、Macintosh 版 Adobe Reader X(10.1)以前のバージョンを使用するすべてのユーザーに対して、Adobe Reader X(10.1.1)にアップデートすることを推奨します。Windows、Macintosh 版 Adobe Reader 9.4.5 以前のバージョンを使用していて、Adobe Reader X(10.1.1)にアップデートできないお客様向けに、Adobe Reader 9.4.6 および Adobe Reader 8.3.1 を提供しています。Windows、Macintosh 版 Adobe Acrobat X(10.1)以前のバージョンを使用するすべてのユーザーに対して、Adobe Acrobat X(10.1.1)へのアップデートすることを推奨します。Windows、Macintosh 版 Adobe Acrobat 9.4.5 以前のバージョンを使用している場合は、Acrobat 9.4.6 に、Windows、Macintosh 版 Adobe Acrobat 8.3 以前のバージョンを使用している場合は Acrobat 8.3.1 にアップデートすることを推奨します。UNIX 版 Adobe Reader 9.4.6 については、2011 年 11 月 7 日(米国時間)に提供を開始する予定です。
(Windows 版 Adobe Reader X のみ)このアップデートは、ローカル権限変更の脆弱性を修正します。(CVE-2011-1353)
このアップデートは、コード実行の原因になりかねないセキュリティバイパスの脆弱性を修正します。(CVE-2011-2431)
このアップデートは、コード実行の原因になりかねない U3D TIFF リソースにおけるバッファオーバーフローの脆弱性を修正します。(CVE-2011-2432)
このアップデートは、コード実行の原因になりかねないヒープオーバーフローの脆弱性を修正します。(CVE-2011-2433)
このアップデートは、コード実行の原因になりかねないヒープオーバーフローの脆弱性を修正します。(CVE-2011-2434)
このアップデートは、コード実行の原因になりかねないバッファオーバーフローの脆弱性を修正します。(CVE-2011-2435)
このアップデートは、コード実行の原因になりかねない、Adobe 画像解析ライブラリにおけるヒープオーバーフローの脆弱性を修正します。(CVE-2011-2436)
このアップデートは、コード実行の原因になりかねないヒープオーバーフローの脆弱性を修正します。(CVE-2011-2437)
このアップデートは、コード実行の原因になりかねない、Adobe 画像解析ライブラリにおけるスタックオーバーフローの脆弱性を修正します。(CVE-2011-2438)
このアップデートは、コード実行の原因になりかねないメモリリークコンディションの脆弱性を修正します。(CVE-2011-2439)
このアップデートは、コード実行の原因になりかねない解放後使用の脆弱性を修正します。(CVE-2011-2440)
このアップデートは、コード実行の原因になりかねない、CoolType.dll ライブラリにおける 2 つのスタックオーバーフローの脆弱性を修正します。(CVE-2011-2441)
このアップデートは、コード実行の原因になりかねない論理エラーの脆弱性を修正します。(CVE-2011-2442)
このアップデートには、Adobe Flash Player アップデート(セキュリティ情報 APSB11-21)が含まれています。
次回の Adobe Reader および Acrobat 用のクォータリーセキュリティアップデートは、2011 年 12 月 13 日(米国時間)に予定されています。
謝辞
一連の問題を指摘し、ユーザーのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
- IBM X-Force Advanced Research の Paul Sabanal 氏、Mark Yason 氏(CVE-2011-1353)
- Fortinet's Fortiguard Labs の Zhenhua Liu 氏(CVE-2011-1353)
- ONsec の Vladimir Vorontsov 氏(CVE-2011-2431)
- Tipping Point's Zero Day Initiative でのバイナリ証明(CVE-2011-2432, CVE-2011-2433,CVE-2011-2434, CVE-2011-2435, CVE-2011-2436,CVE-2011-2437, CVE-2011-2438, CVE-2011-2441)
- James Quirk 氏 Los Alamos (CVE-2011-2439)
- iDefense Labs の匿名報告者様(CVE-2011-2440)
- Google Security Team の Tavis Ormandy 氏(CVE-2011-2442)
変更履歴
10 月 21 日 - 次回のクォータリーセキュリティアップデートのリリース予定を、2011 年 12 月 13 日から 2012 年 1 月 10 日(米国時間)に変更しました。
