この公開文書は「Security updates available for Adobe Reader and Acrobat*」の抄訳です。

リリース日: 2013 年 5 月 14 日

脆弱性識別番号: APSB13-15

優先度: 下記の表を参照

CVE 番号: CVE-2013-2549、CVE-2013-2550、CVE-2013-2718、CVE-2013-2719、CVE-2013-2720、CVE-2013-2721、CVE-2013-2722、CVE-2013-2723、CVE-2013-2724、CVE-2013-2725、CVE-2013-2726、CVE-2013-2727、CVE-2013-2729、CVE-2013-2730、CVE-2013-2731、CVE-2013-2732、CVE-2013-2733、CVE-2013-2734、CVE-2013-2735、CVE-2013-2736、CVE-2013-2737、CVE-2013-3337、CVE-2013-3338、CVE-2013-3339、CVE-2013-3340、CVE-2013-3341、CVE-2013-3342

プラットフォーム: すべてのプラットフォーム

概要

Windows、Macintosh 版 Adobe Reader および Acrobat XI(11.0.02)以前のバージョン、および Linux 版 Adobe Reader 9.5.4 以前のバージョンを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、強制終了を引き起こしたり、対象システムが攻撃者に制御されたりするおそれのある脆弱性が解消されます。

弊社では、対象ソフトウェアにアップデートを適用することをユーザーの皆様に推奨します。

  • Windows、Macintosh 版 Adobe Reader XI(11.0.02)を使用している場合は、Adobe Reader XI(11.0.03)にアップデートすることを推奨します。
  • Windows、Macintosh 版 Adobe Reader X(10.1.6)以前のバージョンを使用していて、Adobe Reader XI(11.0.03)にアップデートするのが困難なお客様向けに、Adobe Reader X(10.1.7)を用意しています。
  • Windows、Macintosh 版 Adobe Reader 9.5.4 以前のバージョンを使用していて、Adobe Reader XI(11.0.03)にアップデートするのが困難なお客様向けに、Adobe Reader 9.5.5 を用意しています。
  • Linux 版 Adobe Reader 9.5.4 以前のバージョンを使用している場合は、Adobe Reader 9.5.5 にアップデートすることを推奨します。
  • Windows、Macintosh 版 Acrobat  XI(11.0.02)を使用している場合は、Acrobat XI(11.0.03)にアップデートすることを推奨します。
  • Windows、Macintosh 版 Acrobat X(10.1.6)以前のバージョンを使用している場合は、Acrobat X(10.1.7)にアップデートすることを推奨します。
  • Windows、Macintosh 版 Acrobat 9.5.4 以前のバージョンを使用している場合は、Acrobat 9.5.5 にアップデートすることを推奨します。

影響を受けるソフトウェアとバージョン

  • Windows、Macintosh 版 Adobe Reader XI(11.0.02)以前のバージョン
  • Windows、Macintosh 版 Adobe Reader X(10.1.6)以前のバージョン
  • Windows、Macintosh、Linux 版 Adobe Reader 9.5.4 以前のバージョン
  • Windows、Macintosh 版 Acrobat XI(11.0.02)以前のバージョン
  • Windows、Macintosh 版 Acrobat X(10.1.6)以前のバージョン
  • Windows、Macintosh 版 Acrobat 9.5.4 以前のバージョン

解決方法

弊社では、以下の指示に従って、対象ソフトウェアにアップデートを適用することをユーザーの皆様に推奨します。

Adobe Reader

Windows および Macintosh 場合は、製品の自動アップデート機能からアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、ヘルプメニューの「アップデートの有無をチェック」から手動でアップデートを確認することもできます。各製品のアップデーターは下記の URL で公開されています。

Linux 版 Adobe Reader については、以下の FTP サイトから必要なアップデートを入手できます。

ftp://ftp.adobe.com/pub/adobe/reader/unix/9.x/

Acrobat

製品の自動アップデート機能からアップデートが可能です。初期設定では一定期間ごとに自動アップデートする設定になっていますが、ヘルプメニューの「アップデートの有無をチェック」から手動でアップデートを確認することもできます。各製品のアップデーターは下記の URL で公開されています。

優先度と緊急度

アドビは、これらのアップデートの優先度を以下のように分類し、最新バージョンへのアップデートを推奨します。

製品 アップデーターのバージョン プラットフォーム 優先度
Adobe Reader XI(11.0.03) Windows、Macintosh 2
  X(10.1.7) Windows、Macintosh 2
  9.5.5 Windows 1
  9.5.5 Macintosh 2
  9.5.5 Linux 2
Acrobat XI(11.0.03) Windows、Macintosh 2
  X(10.1.7) Windows、Macintosh 2
  9.5.5 Windows 1
  9.5.5 Macintosh 2

このアップデートにより、製品のクリティカルな脆弱性が修正されます。

詳細

Windows、Macintosh 版 Adobe Reader および Acrobat XI(11.0.02)以前のバージョン、および Linux 版 Adobe Reader 9.5.4 以前のバージョンを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、強制終了を引き起こしたり、対象システムが攻撃者 に制御されたりするおそれのある脆弱性が解消されます。

弊社では、対象ソフトウェアにアップデートを適用することをユーザーの皆様に推奨します。

  • Windows、Macintosh 版 Adobe Reader XI(11.0.02)を使用している場合は、Adobe Reader XI(11.0.03)にアップデートすることを推奨します。
  • Windows、Macintosh 版 Adobe Reader X(10.1.6)以前のバージョンを使用していて、Adobe Reader XI(11.0.03)にアップデートするのが困難なお客様向けに、Adobe Reader X(10.1.7)を用意しています。
  • Windows、Macintosh 版 Adobe Reader 9.5.4 以前のバージョンを使用していて、Adobe Reader XI(11.0.03)にアップデートするのが困難なお客様向けに、Adobe Reader 9.5.5 を用意しています。
  • Linux 版 Adobe Reader 9.5.4 以前のバージョンを使用している場合は、Adobe Reader 9.5.5 にアップデートすることを推奨します。
  • Windows、Macintosh 版 Acrobat  XI(11.0.02)を使用している場合は、Acrobat XI(11.0.03)にアップデートすることを推奨します。Windows、Macintosh 版 Acrobat X(10.1.6)以前のバージョンを使用している場合は、Acrobat X(10.1.7)にアップデートすることを推奨します。
  • Windows、Macintosh 版 Acrobat 9.5.4 以前のバージョンを使用している場合は、Acrobat 9.5.5 にアップデートすることを推奨します。

これらのアップデートにより、コード実行の原因になりかねない、メモリ破損の脆弱性が解消されます。(CVE-2013-2718、CVE-2013-2719、CVE-2013-2720、CVE-2013-2721、CVE-2013-2722、CVE-2013-2723、CVE-2013-2725、CVE-2013-2726、CVE-2013-2731、CVE-2013-2732、CVE-2013-2734、CVE-2013-2735、CVE-2013-2736、CVE-2013-3337、CVE-2013-3338、CVE-2013-3339、CVE-2013-3340、CVE-2013-3341)

これらのアップデートにより、コード実行の原因になりかねない、整数アンダーフローの脆弱性が解消されます。(CVE-2013-2549)

これらのアップデートにより、Adobe Reader のサンドボックス保護を回避する可能性のある、解放後使用の脆弱性が解消されます。(CVE-2013-2550)

これらのアップデートにより、JavaScript API に関連する情報漏洩の問題が解消されます。(CVE-2013-2737)

これらのアップデートにより、コード実行の原因になりかねない、スタックオーバーフローの脆弱性が解消されます。(CVE-2013-2724)

これらのアップデートにより、コード実行の原因になりかねない、バッファーオーバーフローの脆弱性が解消されます。(CVE-2013-2730、CVE-2013-2733)

これらのアップデートにより、コード実行の原因になりかねない、整数オーバーフローの脆弱性が解消されます。(CVE-2013-2727、CVE-2013-2729)

これらのアップデートにより、ホストシステムのブラックリスト登録済みドメインに対して、Reader が処理する方法の問題が解消されます。(CVE-2013-3342)

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Google Security Team の Mateusz Jurczyk 氏、Gynvael Coldwind 氏(CVE-2013-2719, CVE-2013-2720, CVE-2013-2721, CVE-2013-2722, CVE-2013-2723, CVE-2013-2724, CVE-2013-2725, CVE-2013-2726, CVE-2013-2731, CVE-2013-2732, CVE-2013-2733, CVE-2013-2734, CVE-2013-2735, CVE-2013-2736, CVE-2013-3338, CVE-2013-3339, CVE-2013-3340, CVE-2013-3341)
  • Google Security Team の Tavis Ormandy 氏(CVE-2013-2718, CVE-2013-3337)
  • HP Zero Day Initiative の George Hotz 氏(CVE-2013-2549, CVE-2013-2550)
  • iSIGHT Partners GVP Program の Felipe Andres Manzano 氏(CVE-2013-2729, CVE-2013-2730)
  • HP Zero Day Initiative の Tobias Klein 氏(CVE-2013-2727)

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー