Adobe Acrobat および Reader に関するセキュリティ情報 | APSB18-21
情報 ID 公開日 優先度
APSB18-21 2018 年 7 月 10 日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートは、クリティカルで、かつ重要の脆弱性を解決します。  この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

対象のバージョン

製品名 トラッキング 対象のバージョン プラットフォーム 優先度評価
Acrobat DC  連続トラック
2018.011.20040 とそれ以前のバージョン 
Windows および macOS 2
Acrobat Reader DC 連続トラック
2018.011.20040 とそれ以前のバージョン 
Windows および macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30080 とそれ以前のバージョン Windows および macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 とそれ以前のバージョン Windows および macOS 2
         
Acrobat DC  Classic 2015 2015.006.30418 とそれ以前のバージョン
Windows および macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30418 とそれ以前のバージョン
Windows および macOS 2

Acrobat DC に関するご質問については、Acrobat DC FAQ ページを参照してください。

Acrobat Reader DC に関するご質問については、Acrobat Reader DC FAQ ページ
を参照してください。

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
  • 製品のアップデート
    が検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。
  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートを参照してください。
  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

アドビは、これらのアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2018.011.20055
Windows および macOS 2
Windows
macOS
Acrobat Reader DC 連続トラック 2018.011.20055
Windows および macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows および macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows および macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows および macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows および macOS 2
Windows
macOS

注意:

前回の発表で述べたように、Adobe Acrobat 11.x と Adobe Reader 11.x のサポートは 2017 年 10 月 15 日に終了しました。バージョン 11.0.23 は Adobe Acrobat 11.x および Adobe Reader 11.x の最終リリースです。  アドビでは、Adobe Acrobat Reader DC と Adobe Acrobat DC を最新バージョンに更新することをお客様に強くお勧めします。インストール製品を最新バージョンに更新することで、お客様は最新の機能拡張と改善されたセキュリティ対策のメリットを享受できます。

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
ダブルフリー
任意のコード実行 クリティカル CVE-2018-12782
ヒープオーバーフロー
任意のコード実行
クリティカル CVE-2018-5015、CVE-2018-5028、CVE-2018-5032、CVE-2018-5036、CVE-2018-5038、CVE-2018-5040、CVE-2018-5041、CVE-2018-5045、CVE-2018-5052、CVE-2018-5058、CVE-2018-5067、CVE-2018-12785、CVE-2018-12788、CVE-2018-12798
解放済みメモリ使用 
任意のコード実行
クリティカル CVE-2018-5009、CVE-2018-5011、CVE-2018-5065、CVE-2018-12756、CVE-2018-12770、CVE-2018-12772、CVE-2018-12773、CVE-2018-12776、CVE-2018-12783、CVE-2018-12791、CVE-2018-12792、CVE-2018-12796、CVE-2018-12797  
境界を越えた書き込み 
任意のコード実行
クリティカル CVE-2018-5020、CVE-2018-5021、CVE-2018-5042、CVE-2018-5059、CVE-2018-5064、CVE-2018-5069、CVE-2018-5070、CVE-2018-12754、CVE-2018-12755、CVE-2018-12758、CVE-2018-12760、CVE-2018-12771、CVE-2018-12787
セキュリティバイパス 権限昇格
クリティカル
CVE-2018-12802
境界を越えた読み取り 情報漏えい 重要 CVE-2018-5010、CVE-2018-12803、CVE-2018-5014、CVE-2018-5016、CVE-2018-5017、CVE-2018-5018、CVE-2018-5019、CVE-2018-5022、CVE-2018-5023、CVE-2018-5024、CVE-2018-5025、CVE-2018-5026、CVE-2018-5027、CVE-2018-5029、CVE-2018-5031、CVE-2018-5033、CVE-2018-5035、CVE-2018-5039、CVE-2018-5044、CVE-2018-5046、CVE-2018-5047、CVE-2018-5048、CVE-2018-5049、CVE-2018-5050、CVE-2018-5051、CVE-2018-5053、CVE-2018-5054、CVE-2018-5055、CVE-2018-5056、CVE-2018-5060、CVE-2018-5061、CVE-2018-5062、CVE-2018-5063、CVE-2018-5066、CVE-2018-5068、CVE-2018-12757、CVE-2018-12761、CVE-2018-12762、CVE-2018-12763、CVE-2018-12764、CVE-2018-12765、CVE-2018-12766、CVE-2018-12767、CVE-2018-12768、CVE-2018-12774、CVE-2018-12777、CVE-2018-12779、CVE-2018-12780、CVE-2018-12781、CVE-2018-12786、CVE-2018-12789、CVE-2018-12790、CVE-2018-12795
型の混同 (Type Confusion) 任意のコード実行 クリティカル CVE-2018-5057、CVE-2018-12793、CVE-2018-12794
信頼できないポインター逆参照  任意のコード実行 クリティカル CVE-2018-5012、CVE-2018-5030
バッファーエラー
任意のコード実行 クリティカル CVE-2018-5034、CVE-2018-5037、CVE-2018-5043、CVE-2018-12784

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Palo Alto Networks の Gal De Leon 氏(CVE-2018-5009、CVE-2018-5066)

  • Trend Micro の Zero Day Initiative を通じた匿名者様による報告(CVE-2018-12770、CVE-2018-12771、CVE-2018-12772、CVE-2018-12773、CVE-2018-12774、CVE-2018-12776、CVE-2018-12777、CVE-2018-12779、CVE-2018-12780、CVE-2018-12781、CVE-2018-12783、CVE-2018-12795、CVE-2018-12797)

  • Trend Micro の Zero Day Initiative を通じた Tencent PC マネージャーの WillJ 氏(CVE-2018-5058、CVE-2018-5063、CVE-2018-5065)

  • Trend Micro の Zero Day Initiative を通じた Steven Seeley 氏(CVE-2018-5012、CVE-2018-5030、CVE-2018-5033、CVE-2018-5034、CVE-2018-5035、CVE-2018-5059、CVE-2018-5060、CVE-2018-12793、CVE-2018-12796) 

  • Trend Micro の Zero Day Initiative と Tencent's Xuanwu LAB の Ke Liu 氏による協力(CVE-2018-12803、CVE-2018-5014、CVE-2018-5015、CVE-2018-5016、CVE-2018-5017、CVE-2018-5018、CVE-2018-5019、CVE-2018-5027、CVE-2018-5028、CVE-2018-5029、CVE-2018-5031、CVE-2018-5032、CVE-2018-5055、CVE-2018-5056、CVE-2018-5057)

  • Trend Micro の Zero Day Initiative を通じた Sebastian Apelt siberas 氏(CVE-2018-12794)

  • Chengdu Qihoo360 Tech Co. Ltd. の Zhiyuan Wang 氏(CVE-2018-12758)

  • Beihang University の Lin Wang 氏(CVE-2018-5010、CVE-2018-5020、CVE-2018-12760、CVE-2018-12761、CVE-2018-12762、CVE-2018-12763、CVE-2018-12787、CVE-2018-5067) 

  • Qihoo 360 Vulcan Team の Zhenjie Jia 氏(CVE-2018-12757)

  • Check Point Software Technologies の Netanel Ben Simon 氏と Yoav Alon 氏(CVE-2018-5063、CVE-2018-5064、CVE-2018-5065、CVE-2018-5068、CVE-2018-5069、CVE-2018-5070、CVE-2018-12754、CVE-2018-12755、CVE-2018-12764、CVE-2018-12765、CVE-2018-12766、CVE-2018-12767)。CVE-2018-12768)

  • Cisco Talos の Aleksandar Nikolic 氏(CVE-2018-12756)

  • Kaspersky Lab の Vladislav Stolyarov 氏(CVE-2018-5011) 

  • Tencent's Xuanwu Lab の Ke Liu 氏(CVE-2018-12785、CVE-2018-12786)

  • Trend Micro の Zero Day Initiative の Kdot 氏(CVE-2018-5036、CVE-2018-5037、CVE-2018-5038、CVE-2018-5039、CVE-2018-5040、CVE-2018-5041、CVE-2018-5042、CVE-2018-5043、CVE-2018-5044、CVE-2018-5045、CVE-2018-5046、CVE-2018-5047、CVE-2018-5048、CVE-2018-5049、CVE-2018-5050、CVE-2018-5051、CVE-2018-5052、CVE-2018-5053、CVE-2018-5054、CVE-2018-5020)

  • Trend Micro の Zero Day Initiative と Trend Micro の Pengsu Cheng 氏による協力(CVE-2018-5061、CVE-2018-5067、CVE-2018-12790、CVE-2018-5056)

  • Trend Micro の Zero Day Initiative と Ron Waisberg 氏による協力(CVE-2018-5062、CVE-2018-12788、CVE-2018-12789) 

  • iDefense Labs と Source Incite の Steven Seeley 氏(mr_me)による協力(CVE-2018-12791、CVE-2018-12792、CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • TCA/SKLCS Institute of Software Chinese Academy of Sciences の XuPeng 氏と Baidu Security Lab の HuangZheng 氏(CVE-2018-12782)

  • 匿名者様による報告(CVE-2018-12784、CVE-2018-5009)

  • Trend Micro の Zero Day Initiative と Source Incite の mr_me 氏による協力(CVE-2018-12761)

  • Palo Alto Networks の Zhanglin He 氏と Bo Qu 氏(CVE-2018-5023、CVE-2018-5024)

  • Palo Alto Networks の Bo Qu 氏と Knownsec 404 セキュリティチームの Heige 氏(CVE-2018-5021、CVE-2018-5022、CVE-2018-5025、CVE-2018-5026)