Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB17-24
情報 ID 公開日 優先度
APSB17-24 2017 年 8 月 8 日 2

要約

Windows 版および Macintosh 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある重大かつ重要な脆弱性が解消されます。

対象のバージョン

これらのアップデートは、対象ソフトウェアのクリティカルな脆弱性を解消します。アドビシステムズ社は次の優先度をこれらのアップデートに割り当てます。

製品名 対象のバージョン プラットフォーム
Acrobat DC (Continuous Track) 2017.009.20058 とそれ以前のバージョン
Windows および Macintosh
Acrobat Reader DC (Continuous Track) 2017.009.20058 とそれ以前のバージョン
Windows および Macintosh
     
Acrobat 2017 2017.008.30051 とそれ以前のバージョン Windows および Macintosh
Acrobat Reader 2017 2017.008.30051 とそれ以前のバージョン Windows および Macintosh
     
Acrobat DC (Classic Track) 2015.006.30306 とそれ以前のバージョン
Windows および Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30306 とそれ以前のバージョン
Windows および Macintosh
     
Acrobat XI 11.0.20 とそれ以前のバージョン Windows および Macintosh
Reader XI 11.0.20 とそれ以前のバージョン Windows および Macintosh

Acrobat DC に関する詳細については、Acrobat DC FAQ ページを参照してください。

Acrobat Reader DC に関する詳細については、Acrobat Reader DC FAQ ページを参照してください。

解決方法

以下の
手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
  • 製品のアップデート
    が検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。
  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートを参照してください。
  • AIP-GPO、bootstrapper、SCUP/SCCM
    (Windows 版)、あるいは Macintosh 版の場合であれは Apple Remote Desktop および SSH
    など、好みの方法でアップデートをインストールします。

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC (Continuous Track) 2017.012.20093
Windows および Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20093 Windows および Macintosh 2 ダウンロードセンター
         
Acrobat 2017 2017.011.30059 Windows および Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30059 Windows および Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30352
Windows および Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30352 
Windows および Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows および Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows および Macintosh 2 Windows
Macintosh

脆弱性の詳細

脆弱性のカテゴリー 脆弱性の影響 重大度 CVE 番号
メモリ破損 リモートコード実行 クリティカル CVE-2017-3016
メモリ破損 リモートコード実行 クリティカル CVE-2017-3038
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-3113
データの真正の不十分な検証 情報漏えい 重要 CVE-2017-3115
メモリ破損 リモートコード実行 クリティカル CVE-2017-3116
ヒープオーバーフロー リモートコード実行 クリティカル CVE-2017-3117
セキュリティバイパス 情報漏えい 重要 CVE-2017-3118
メモリ破損 リモートコード実行 重要 CVE-2017-3119
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-3120
ヒープオーバーフロー リモートコード実行 クリティカル CVE-2017-3121
メモリ破損 情報漏えい 重要 CVE-2017-3122
メモリ破損 リモートコード実行 クリティカル CVE-2017-3123
メモリ破損 リモートコード実行 クリティカル CVE-2017-3124
メモリ破損 情報漏えい 重要 CVE-2017-11209
メモリ破損 情報漏えい 重要 CVE-2017-11210
ヒープオーバーフロー リモートコード実行 クリティカル CVE-2017-11211
メモリ破損 リモートコード実行 クリティカル CVE-2017-11212
メモリ破損 リモートコード実行 クリティカル CVE-2017-11214
メモリ破損 リモートコード実行 クリティカル CVE-2017-11216
メモリ破損 情報漏えい 重要 CVE-2017-11217
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-11218
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-11219
ヒープオーバーフロー リモートコード実行 クリティカル CVE-2017-11220
タイプの混乱 リモートコード実行 クリティカル CVE-2017-11221
メモリ破損 リモートコード実行 クリティカル CVE-2017-11222
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-11223
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-11224
メモリ破損 リモートコード実行 クリティカル CVE-2017-11226
メモリ破損 リモートコード実行 クリティカル CVE-2017-11227
メモリ破損 リモートコード実行 クリティカル CVE-2017-11228
セキュリティバイパス リモートコード実行 重要 CVE-2017-11229
メモリ破損 情報漏えい 重要 CVE-2017-11230
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-11231
解放済みメモリ使用 情報漏えい 重要 CVE-2017-11232
メモリ破損 情報漏えい 重要 CVE-2017-11233
メモリ破損 リモートコード実行 クリティカル CVE-2017-11234
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-11235
メモリ破損 情報漏えい 重要 CVE-2017-11236
メモリ破損 リモートコード実行 クリティカル CVE-2017-11237
メモリ破損 情報漏えい クリティカル CVE-2017-11238
メモリ破損 情報漏えい クリティカル CVE-2017-11239
ヒープオーバーフロー リモートコード実行 クリティカル CVE-2017-11241
メモリ破損 情報漏えい 重要 CVE-2017-11242
メモリ破損 情報漏えい 重要 CVE-2017-11243
メモリ破損 情報漏えい 重要 CVE-2017-11244
メモリ破損 情報漏えい 重要 CVE-2017-11245
メモリ破損 情報漏えい 重要 CVE-2017-11246
メモリ破損 情報漏えい 重要 CVE-2017-11248
メモリ破損 情報漏えい 重要 CVE-2017-11249
メモリ破損 リモートコード実行 クリティカル CVE-2017-11251
メモリ破損 情報漏えい クリティカル CVE-2017-11252
解放済みメモリ使用 リモートコード実行 重要 CVE-2017-11254
メモリ破損 情報漏えい 重要 CVE-2017-11255
解放済みメモリ使用 リモートコード実行 クリティカル CVE-2017-11256
タイプの混乱 リモートコード実行 クリティカル CVE-2017-11257
メモリ破損 情報漏えい 重要 CVE-2017-11258
メモリ破損 リモートコード実行 クリティカル CVE-2017-11259
メモリ破損 リモートコード実行 クリティカル CVE-2017-11260
メモリ破損 リモートコード実行 クリティカル CVE-2017-11261
メモリ破損 リモートコード実行 クリティカル CVE-2017-11262
メモリ破損 リモートコード実行 重要 CVE-2017-11263
メモリ破損 情報漏えい 重要 CVE-2017-11265
メモリ破損 リモートコード実行 クリティカル CVE-2017-11267
メモリ破損 リモートコード実行 クリティカル CVE-2017-11268
メモリ破損 リモートコード実行 クリティカル CVE-2017-11269
メモリ破損 リモートコード実行 クリティカル CVE-2017-11270
メモリ破損 リモートコード実行 クリティカル CVE-2017-11271

注意:

CVE-2017-3038 は 2017.009.20044 および 2015.006.30306 (2017 年 4 月リリース)で解決されましたが、この修正はバージョン 11.0.20 では不完全でした。 この脆弱性は、バージョン 11.0.21 (2017 年 8 月リリース)で完全に解決されています。

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、
アドビより厚く御礼を申し上げます。

  • Trend Micro の Zero Day Initiative と @vftable 氏による協力(CVE-2017-11211、CVE-2017-11251)
  • Cisco Talos の Aleksandar Nikolic 氏(CVE-2017-11263)
  • Cure53 の Alex Infuhr 氏(CVE-2017-11229)
  • Project Srishti の Ashfaq Ansari 氏(CVE-2017-11221)
  • iDefense Vulnerability Contributor Program と Project Srishti の Ashfaq Ansari 氏による協力(CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Trend Micro の Zero Day Initiative 経由で報告をお寄せいただいた匿名の協力者様(CVE-2017-3113、CVE-2017-3120、CVE-2017-11218、CVE-2017-11224、CVE-2017-11223)
  • Trend Micro の Zero Day Initiative と Fernando Munoz 氏による協力(CVE-2017-3115)
  • Trend Micro の Zero Day Initiative と STEALIEN & HIT の Giwan Go 氏による協力(CVE-2017-11228、CVE-2017-11230)
  • Heige 氏(a.k.a. SuperHei)(CVE-2017-11222)
  • Trend Micro の Zero Day Initiative と Jaanus Kp Clarified Security による協力(CVE-2017-11236、CVE-2017-11237、CVE-2017-11252、CVE-2017-11231、CVE-2017-11265)
  • Trend Micro の Zero Day Initiative と Jaanus Kp Clarified Security による協力 - Trend Micro の Zero Day Initiative と Project Srishti による協力(CVE-2017-11231)
  • Tencent KeenLab の Jihui Lu 氏(CVE-2017-3119)
  • Trend Micro の Zero Day Initiative と kdot 氏による協力(CVE-2017-11234、CVE-2017-11235、CVE-2017-11271)
  • Trend Micro の Zero Day Initiative と Tencent's Xuanwu LAB の Ke Liu 氏による協力(CVE-2017-3121、CVE-2017-3122、CVE-2017-11212、CVE-2017-11216、CVE-2017-11217、CVE-2017-11238、CVE-2017-11239、CVE-2017-11241、CVE-2017-11242、CVE-2017-11243、CVE-2017-11244、CVE-2017-11245、CVE-2017-11246、CVE-2017-11248、CVE-2017-11249、CVE-2017-11233、CVE-2017-11261、CVE-2017-11260、CVE-2017-11258、CVE-2017-11259、CVE-2017-11267、CVE-2017-11268、CVE-2017-11269、CVE-2017-11259、CVE-2017-11270、CVE-2017-11261)
  • Trend Micro の Zero Day Initiative および Offensive Security の Steven Seeley 氏(mr_me)と Tencent's Xuanwu LAB の Ke Liu 氏による協力(CVE-2017-11212、CVE-2017-11214、CVE-2017-11227)
  • Noam Rathaus 氏(CVE-2017-11254)
  • Richard Warren 氏(CVE-2017-3118)
  • Tencent Security Platform Department の riusksk 氏(CVE-2017-3016)
  • Trend Micro の Zero Day Initiative と Sebastian Apelt siberas 氏による協力(CVE-2017-11219、CVE-2017-11256、CVE-2017-11257)
  • Trend Micro の Zero Day Initiative と Offensive Security の Steven Seeley 氏(mr_me)による協力(CVE-2017-11209、CVE-2017-11210、CVE-2017-11232、CVE-2017-11255、CVE-2017-3123、CVE-2017-3124)
  • Beyond Security’s SecuriTeam Secure Disclosure Program と Steven Seeley 氏による協力(CVE-2017-11220)
  • Steven Seeley 氏(CVE-2017-11262)
  • Sushan 氏(CVE-2017-11226)
  • Toan Pham 氏(CVE-2017-3116)