この公開文書は「Security Advisory for Adobe Reader and Acrobat*」の抄訳です。

リリース日: 2011 年 12 月 6 日

更新日: 2011 年 12 月 15日

脆弱性識別番号: APSA11-04

CVE 番号: CVE-2011-2462

プラットフォーム: すべてのプラットフォーム

概要

Windows、Macintosh 版 Adobe Reader X(10.1.1)以前のバージョン、Unix 版 Adobe Reader 9.4.6 以前のバージョン、および Windows、Macintosh 版 Adobe Acrobat X(10.1.1)以前のバージョンにおいて、クリティカルな脆弱性が存在することが確認されました。この脆弱性 (CVE-2011-2462) により、アプリケーションが強制終了する、または影響を受けるシステムが攻撃者によって制御される可能性があります。この脆弱性を悪用し、Windows 版 Adobe Reader 9.x を対象として攻撃が行われているという事例が報告されています。

現在弊社ではこの問題を修正する最終段階にあり、2011 年 12 月 16 日(米国時間)に、Windows 版 Adobe Reader 9.x および Acrobat 9.x 向けのアップデーターを公開する予定です。この脆弱性を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができるため、Windows 版 Adobe Reader X および Acrobat X については、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Macintosh 版 Adobe Reader X 以前のバージョン、および Acrobat X 以前のバージョンについても同様に、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Unix 版 Adobe Reader 9.x の問題を修正するアップデーターについては、2012 年 1 月 10 日(米国時間)に提供を開始する予定です。本アップデーターの提供スケジュールに関する詳細については、Adobe Security Software Engineering Team(ASSET)のブログ記事(英語)を参照してください。

影響を受けるソフトウェアとバージョン

  • Windows、Macintosh 版 Adobe Reader X (10.1.1)以前のバージョン
  • Windows、Macintosh、Unix 版 Adobe Reader 9.4.6 以前のバージョン
  • Windows、Macintosh 版 Adobe Acrobat X(10.1.1)以前のバージョン
  • Windows、Macintosh 版 Adobe Acrobat 9.4.6 以前のバージョン

注意 : Android 版 Adobe Reader および Flash Player については、この脆弱性の影響を受けません。

回避策

弊社では、Windows 版 Adobe Reader 9.4.6 以前のバージョン、および Adobe Acrobat 9.4.6 以前のバージョンを使用しているユーザーに、9.4.7 へのアップデートを推奨します。詳細については、セキュリティ情報 APSB11-30 を参照してください。

この脆弱性を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができます。

Acrobat X の保護されたビューを有効にするには、以下の操作を行います。

  1. 編集/環境設定を選択します。
  2. 「セキュリティ(拡張)」を選択します。
  3. 「拡張セキュリティを有効にする」にチェックを入れ、「安全でない可能性のある場所からのファイル」を選択します。
  4. 「OK」をクリックします。

Adobe Reader の保護モードを有効にするには、以下の操作を行います。

  1. 編集/環境設定を選択します。
  2. 「一般」を選択します。
  3. 「起動時に保護モードを有効にする」にチェックを入れます。
  4. 「OK」をクリックします。

緊急度

アドビは、この問題をクリティカルな案件として分類しています。

詳細

Windows、Macintosh 版 Adobe Reader X(10.1.1)以前のバージョン、Unix 版 Adobe Reader 9.4.6 以前のバージョン、および Windows、Macintosh 版 Adobe Acrobat X(10.1.1)以前のバージョンにおいて、クリティカルな脆弱性が存在することが確認されました。

U3D メモリ破損の脆弱性(CVE-2011-2462) により、アプリケーションが強制終了する、または影響を受けるシステムが攻撃者によって制御される可能性があります。この脆弱性を悪用し、Windows 版 Adobe Reader 9.x を対象として攻撃が行われているという事例が報告されています。この脆弱性を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができます。

現在弊社ではこの問題を修正する最終段階にあり、2011 年 12 月 16 日(米国時間)に、Windows 版 Adobe Reader 9.x および Acrobat 9.x 向けのアップデーターを公開する予定です。

この脆弱性を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができるため、Windows 版 Adobe Reader X および Acrobat X については、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Macintosh 版 Adobe Reader X 以前のバージョン、および Acrobat X 以前のバージョンについても同様に、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Unix 版 Adobe Reader 9.x の問題を修正するアップデーターについては、2012 年 1 月 10 日(米国時間)に提供を開始する予定です。本アップデーターの提供スケジュールに関する詳細については、Adobe Security Software Engineering Team(ASSET)のブログ記事(英語)を参照してください。

Adobe Product Security Incident Team のブログから最新の情報を取得することができます。

URL : http://blogs.adobe.com/psirt

RSS : http://blogs.adobe.com/psirt/atom.xml

弊社では、この問題およびその他の脆弱性について、セキュリティコミュニティにおいてパートナーと積極的に情報を共有し、パッチが公開されるまでの間ユーザーを保護するために、脆弱性を検出して隔離する方法を迅速に開発できるよう努めています。これまでと同様に弊社では、セキュリティの最善の対策として、アンチマルウェアソフトウェアおよびその定義ファイルを最新の状態に保つことを推奨します。

謝辞

この問題のご報告をいただき、ユーザーのセキュリティ保護にご協力いただいた Lockheed Martin CIRT ならびに Defense Security Information Exchange のメンバーの方々に対し、アドビより感謝の意を表明します。

更新履歴

2011年12月19日 - アップデートのリンクを追加しました。

2011年12月15日 - アップデート公開日を追加しました。

2011年12月6日 - 初出

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー