この公開文書は「Security updates available for Adobe Reader and Acrobat 9.x for Windows*」の抄訳です。

リリース日 : 2011 年 12 月 16 日

脆弱性識別番号 : APSB11-30

CVE 番号 : CVE-2011-2462, CVE-2011-4369

プラットフォーム : Windows

概要

現在、2 つの脆弱性を悪用して、Windows 版 Adobe Reader 9.x を対象とした攻撃が行われているという事例が報告されています。この脆弱性 (APSA11-04 の CVE-2011-2462 および CVE-2011-4369) により、アプリケーションが強制終了する、または影響を受けるシステムが攻撃者によって制御される可能性があります。

これらの脆弱性は、Windows、Macintosh 版 Adobe Reader X(10.1.1)以前のバージョン、Unix 版 Adobe Reader 9.4.6 以前のバージョン、Windows、Macintosh 版 Acrobat X(10.1.1)以前のバージョンにおいて確認されていますが、保護されたビューを有効にした Acrobat X および保護モードを有効にした Adobe Reader X においては、緊急の危険性はありません。Macintosh 版 Adobe Reader X と Acrobat X、および Unix 版 Adobe Reader 9.x は、現時点の脆弱性に基づいて、従来の攻撃パターンが確認されています。

今回のアップデートは Windows 版 Adobe Reader 9.x および Acrobat 9.x のこれらの脆弱性を修正します。弊社では、Winodws 版 Adobe Reader 9.4.6 以前のバージョン、および Acrobat 9.4.6 以前のバージョンを利用されているすべてのユーザーに対して、9.4.7 へのアップデートを推奨します。

これらの脆弱性(CVE-2011-2462 および CVE-2011-4369)を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができるため、Windows 版 Adobe Reader X および Acrobat X については、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Macintosh 版 Adobe Reader X 以前のバージョン、および Acrobat X 以前のバージョンについても同様に、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Unix 版 Adobe Reader 9.x の問題を修正するアップデーターについては、2012 年 1 月 10 日(米国時間)に提供を開始する予定です。本アップデーターの提供スケジュールに関する詳細については、Adobe Security Software Engineering Team(ASSET)のブログ記事(英語)を参照してください。

影響を受けるソフトウェアとバージョン

  • Windows、Macintosh 版 Adobe Reader X(10.1.1)以前のバージョン
  • Windows、Macintosh、Unix 版 Adobe Reader 9.4.6 以前のバージョン
  • Windows、Macintosh 版 Acrobat X(10.1.1)以前のバージョン
  • Windows、Macintosh 版 Acrobat 9.4.6 以前のバージョン

注意 : Android 版 Adobe Reader および Flash Player については、この脆弱性の影響を受けません。

解決方法

弊社では、以下の手順に従って、Windows 版 Adobe Reader 9.4.6 以前のバージョン、および Adobe Acrobat 9.4.6 以前のバージョンにアップデートを適用することを推奨します。

Windows 版 Adobe Reader 9.x

製品のアップデート機能からアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、ヘルプメニューの「アップデートの有無をチェック」から手動でアップデートを確認することもできます。

または、以下の弊社 Web サイトから直接アップデーターをダウンロードすることもできます。

URL : http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Windows 版 Adobe Acrobat 9.x

製品のアップデート機能からアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、ヘルプメニューの「アップデートの有無をチェック」から手動でアップデートを確認することもできます。

または、以下の弊社 Web サイトから直接アップデーターをダウンロードすることもできます。

URL : http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

これらの脆弱性(CVE-2011-2462 および CVE-2011-4369)を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができるため、Windows 版 Adobe Reader X および Acrobat X については、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。

Acrobat X の保護されたビューを有効にするには、以下の操作を行います。

  1. 編集/環境設定を選択します。
  2. 「セキュリティ(拡張)」を選択します。
  3. 「拡張セキュリティを有効にする」にチェックを入れ、「安全でない可能性のある場所からのファイル」を選択します。
  4. 「OK」をクリックします。

Adobe Reader の保護モードを有効にするには、以下の操作を行います。

  1. 編集/環境設定を選択します。
  2. 「一般」を選択します。
  3. 「起動時に保護モードを有効にする」にチェックを入れます。
  4. 「OK」をクリックします。

Macintosh 版 Adobe Reader X 以前のバージョン、および Acrobat X 以前のバージョンについても同様に、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Unix 版 Adobe Reader 9.x の問題を修正するアップデーターについては、2012 年 1 月 10 日(米国時間)に提供を開始する予定です。本アップデーターの提供スケジュールに関する詳細については、Adobe Security Software Engineering Team(ASSET)のブログ記事(英語)を参照してください。

緊急度

アドビはこの問題をクリティカルな案件として分類し、上記解決方法の手順に従ってアップデートを適用することを推奨します。

詳細

現在、2 つの脆弱性を悪用して、Windows 版 Adobe Reader 9.x を対象とした攻撃が行われているという事例が報告されています。この脆弱性 (APSA11-04 の CVE-2011-2462 および CVE-2011-4369) により、アプリケーションが強制終了する、または影響を受けるシステムが攻撃者によって制御される可能性があります。

これらの脆弱性は、Windows、Macintosh 版 Adobe Reader X’(10.1.1)以前のバージョン、Unix 版 Adobe Reader 9.4.6 以前のバージョン、Windows、Macintosh 版 Acrobat X(10.1.1)以前のバージョンにおいて確認されていますが、保護されたビューを有効にした Acrobat X および保護モードを有効にした Adobe Reader X においては、緊急の危険性はありません。Macintosh 版 Adobe Reader X と Acrobat X、および Unix 版 Adobe Reader 9.x は、現時点の脆弱性に基づいて、従来の攻撃パターンが確認されています。

今回のアップデートは Windows 版 Adobe Reader 9.x および Acrobat 9.x のこれらの脆弱性を修正します。弊社では、Winodws 版 Adobe Reader 9.4.6 以前のバージョン、および Acrobat 9.4.6 以前のバージョンを利用されているすべてのユーザーに対して、9.4.7 へのアップデートを推奨します。

これらの脆弱性(CVE-2011-2462 および CVE-2011-4369)を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができるため、Windows 版 Adobe Reader X および Acrobat X については、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Macintosh 版 Adobe Reader X 以前のバージョン、および Acrobat X 以前のバージョンについても同様に、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。Unix 版 Adobe Reader 9.x の問題を修正するアップデーターについては、2012 年 1 月 10 日(米国時間)に提供を開始する予定です。本アップデーターの提供スケジュールに関する詳細については、Adobe Security Software Engineering Team(ASSET)のブログ記事(英語)を参照してください。

これらのアップデートは、コード実行の原因になりかねない、U3D コンポーネントにおけるメモリ破損の脆弱性を解消します。(CVE-2011-2462)

これらのアップデートは、コード実行の原因になりかねない、PRC コンポーネントにおけるメモリ破損の脆弱性を解消します。(CVE-2011-4369)

これらのアップデートには APSB11-28 の Adobe Flash Player アップデートも含まれています。

謝辞

この問題のご報告をいただき、ユーザーのセキュリティ保護にご協力いただいた Lockheed Martin CIRT、MITRE ならびに Defense Security Information Exchange のメンバーの方々に対し、アドビより感謝の意を表明します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー