Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB17-36
情報 ID 公開日 優先度
APSB17-36 2017 年 11 月 14 日 2

要約

Windows 版および Macintosh 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御される恐れのある重大な脆弱性が解消されます。

対象のバージョン

製品名 対象のバージョン プラットフォーム
Acrobat DC (Continuous Track) 2017.012.20098 とそれ以前のバージョン
Windows および Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20098 とそれ以前のバージョン
Windows および Macintosh
     
Acrobat 2017 2017.011.30066 とそれ以前のバージョン Windows および Macintosh
Acrobat Reader 2017 2017.011.30066 とそれ以前のバージョン Windows および Macintosh
     
Acrobat DC (Classic Track) 2015.006.30355 とそれ以前のバージョン
Windows および Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30355 とそれ以前のバージョン
Windows および Macintosh
     
Acrobat XI 11.0.22 とそれ以前のバージョン Windows および Macintosh
Reader XI 11.0.22 とそれ以前のバージョン Windows および Macintosh

Acrobat DC に関する詳細については、Acrobat DC FAQ ページを参照してください。

Acrobat Reader DC に関する詳細については、Acrobat Reader DC FAQ ページを参照してください。

解決方法

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
  • 製品のアップデート
    が検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。
  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートを参照してください。
  • AIP-GPO、bootstrapper、SCUP/SCCM
    (Windows 版)、あるいは Macintosh 版の場合であれは Apple Remote Desktop および SSH
    など、好みの方法でアップデートをインストールします。

アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC (Continuous Track) 2018.009.20044
Windows および Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2018.009.20044
Windows および Macintosh 2 ダウンロードセンター
         
Acrobat 2017 2017.011.30068 Windows および Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows および Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30392
Windows および Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30392 
Windows および Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows および Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows および Macintosh 2 Windows
Macintosh

注意:

前回の発表で述べたように、Adobe Acrobat 11.x と Adobe Reader 11.x のサポートは 2017 年 10 月 15 日に終了しました。  バージョン 11.0.23 は Adobe Acrobat 11.x および Adobe Reader 11.x の最終リリースです。  アドビでは、Adobe Acrobat Reader DC と Adobe Acrobat DC を最新バージョンに更新することをお客様に強くお勧めします。インストール製品を最新バージョンに更新することで、お客様は最新の機能拡張と改善されたセキュリティ対策のメリットを享受できます。

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 重大度 CVE 番号
未初期化ポインターのアクセス リモートコード実行
クリティカル CVE-2017-16377
CVE-2017-16378
解放済みメモリ使用 リモートコード実行
クリティカル CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
不正な長さ値によるバッファアクセス リモートコード実行 クリティカル CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
バッファオーバリード リモートコード実行 クリティカル CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
バッファオーバーフロー/アンダーフロー リモートコード実行 クリティカル CVE-2017-16368
ヒープオーバーフロー リモートコード実行 クリティカル CVE-2017-16383
配列インデックスの不適切な検証 リモートコード実行 クリティカル

CVE-2017-16391
CVE-2017-16410

境界を越えた読み取り リモートコード実行 クリティカル CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
境界を越えた書き込み リモートコード実行 クリティカル CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
セキュリティバイパス ドライブバイダウンロード 重度
CVE-2017-16361
CVE-2017-16366
セキュリティバイパス 情報漏えい 重度 CVE-2017-16369
セキュリティバイパス リモートコード実行
クリティカル
CVE-2017-16380
スタック枯渇 過度のリソース消費 重度 CVE-2017-16419
型の混同 (Type Confusion) リモートコード実行 クリティカル CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
信頼できないポインター逆参照 リモートコード実行 クリティカル CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、
アドビより厚く御礼を申し上げます。

  • Toan Pham Van 氏(@__suto)(CVE-2017-16362、CVE-2017-16363、CVE-2017-16364、CVE-2017-16365)
  • Trend Micro の Zero Day Initiative と Tencent's Xuanwu LAB の Ke Liu 氏による協力(CVE-2017-16381、CVE-2017-16382、CVE-2017-16383、CVE-2017-16384、CVE-2017-16385、CVE-2017-16386、CVE-2017-16387、CVE-2017-16400、CVE-2017-16401、CVE-2017-16402、CVE-2017-16403、CVE-2017-16404)
  • Tencent の Xuanwu LAB の Ke Liu 氏(CVE-2017-16370、CVE-2017-16371、CVE-2017-16372、CVE-2017-16373、CVE-2017-16374、CVE-2017-16375)
  • Trend Micro の Zero Day Initiative と Offensive Security の Steven Seeley (mr_me)氏による協力(CVE-2017-16369)
  • Kamlapati Choubey 氏、TELUS Security Labs (CVE-2017-16415)
  • Cisco Talos の Aleksandar Nikolic 氏 http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu 氏(@shhnjk)(CVE-2017-16366、CVE-2017-16361)
  • Tencent Security Platform Department の riusksk (泉哥)氏(CVE-2017-11293、CVE-2017-16408、CVE-2017-16409、CVE-2017-16410、CVE-2017-16411、CVE-2017-16399、CVE-2017-16395、CVE-2017-16394)
  • Marcin Towalski 氏(CVE-2017-16391)
  • Beihang University の Lin Wang 氏(CVE-2017-16416、CVE-2017-16417、CVE-2017-16418、CVE-2017-16405)
  • Tencent PC Manager の willJ 氏(CVE-2017-16406、CVE-2017-16407、CVE-2017-16419、CVE-2017-16412、CVE-2017-16413、CVE-2017-16396、CVE-2017-16397、CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376、CVE-2017-16377、CVE-2017-16378、CVE-2017-16379)
  • NCC Group Plc の Richard Warren 氏(CVE-2017-16380)
  • Palo Alto Networks の Gal De Leon 氏(CVE-2017-16388、CVE-2017-16389、CVE-2017-16390、CVE-2017-16393、CVE-2017-16398、CVE-2017-16414、CVE-2017-16420)
  • Toan Pham (@__suto)氏(CVE-2017-16360)
  • iDefense Labs と協力する Ashfaq Ansari 氏、Project Srishti (CVE-2017-16368)