Adobe Acrobat および Reader に関するセキュリティ情報 | APSB18-30
情報 ID 公開日 優先度
APSB18-30 2018年10月01日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートは、クリティカルで、かつ重要の脆弱性を解決します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

対象のバージョン

製品名 トラッキング 対象のバージョン プラットフォーム 優先度評価
Acrobat DC  連続トラック
2018.011.20063 とそれ以前のバージョン 
Windows および macOS 2
Acrobat Reader DC 連続トラック
2018.011.20063 とそれ以前のバージョン 
Windows および macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 とそれ以前のバージョン Windows および macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 とそれ以前のバージョン Windows および macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 とそれ以前のバージョン
Windows および macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 とそれ以前のバージョン
Windows および macOS 2

Acrobat DC に関するご質問については、Acrobat DC FAQ ページを参照してください。

Acrobat Reader DC に関するご質問については、Acrobat Reader DC FAQ ページ
を参照してください。

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。
  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートを参照してください。
  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

アドビは、これらのアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2019.008.20071
Windows および macOS 2
Windows
macOS
Acrobat Reader DC 連続トラック 2019.008.20071
Windows および macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows および macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows および macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows および macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows および macOS 2
Windows
macOS

注意:

前回の発表で述べたように、Adobe Acrobat 11.x と Adobe Reader 11.x のサポートは 2017 年 10 月 15 日に終了しました。バージョン 11.0.23 は Adobe Acrobat 11.x および Adobe Reader 11.x の最終リリースです。  アドビでは、Adobe Acrobat Reader DC と Adobe Acrobat DC を最新バージョンに更新することをお客様に強くお勧めします。インストール製品を最新バージョンに更新することで、お客様は最新の機能拡張と改善されたセキュリティ対策のメリットを享受できます。

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
境界を越えた書き込み 
任意のコード実行
クリティカル

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

境界を越えた読み取り 情報漏えい 重要

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968

ヒープオーバーフロー

任意のコード実行

クリティカル

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

解放済みメモリ使用

任意のコード実行

クリティカル

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

型の混同 (Type Confusion)

任意のコード実行

クリティカル

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

スタックオーバーフロー

情報漏えい

重要

CVE-2018-12838

ダブルフリー

任意のコード実行

クリティカル

 

CVE-2018-12841

整数オーバーフロー

情報漏えい

重要

CVE-2018-12881,

CVE-2018-12842

バッファーエラー

任意のコード実行

クリティカル

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

信頼できないポインター逆参照

任意のコード実行

クリティカル

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

セキュリティバイパス

権限昇格

クリティカル

CVE-2018-15966

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro の Zero Day Initiative 経由の匿名者様(CVE-2018-12851)
  • Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. の Zhiyuan Wang 氏(CVE-2018-12841、CVE-2018-12838、CVE-2018-12833)
  • Trend Micro の Zero Day Initiative と willJ 氏による協力(CVE-2018-12856、CVE-2018-12855)
  • Trend Micro の Zero Day Initiative と Sebastian Apelt siberas 氏による協力(CVE-2018-12858)
  • Trend Micro の Zero Day Initiative と Beihang University の Lin Wang 氏による協力(CVE-2018-12876、CVE-2018-12868)
  • Trend Micro の Zero Day Initiative と Source Incite の Esteban Ruiz (mr_me)氏による協力(CVE-2018-12879、CVE-2018-12877)
  • Trend Micro の Zero Day Initiative 経由の Kamlapati Choubey 氏(CVE-2018-15948、CVE-2018-15946、CVE-2018-12842)
  • Trend Micro の Zero Day Initiative 経由の Ron Waisberg 氏(CVE-2018-15950、CVE-2018-15949、CVE-2018-15947)
  • Cisco Talos の Aleksandar Nikolic 氏。(CVE-2018-12852)
  • Guy Inbar (guyio)氏(CVE-2018-12853)
  • Beihang University の Lin Wang 氏(CVE-2018-15951、CVE-2018-12881、CVE-2018-12880、CVE-2018-12845、CVE-2018-12844、CVE-2018-12843、CVE-2018-12759)
  • Palo Alto Networks の Gal De Leon 氏(CVE-2018-15920、CVE-2018-12846、CVE-2018-12836、CVE-2018-12832、CVE-2018-12769)
  • Qihoo 360 Vulcan Team の Zhenjie Jia 氏(CVE-2018-12831)
  • Palo Alto Networks の Hui Gao と Knownsec 404 セキュリティチームの Heige 氏(a.k.a SuperHei)(CVE-2018-15925、CVE-2018-15924)
  • Palo Alto Networks の Bo Qu 氏と Zhibin Zhang 氏(CVE-2018-15923、CVE-2018-15922)
  • iDefense Labs と Source Incite の Esteban Ruiz (mr_me)氏による協力(CVE-2018-12835)
  • iDefense Labs と協力する Ashfaq Ansari 氏、Project Srishti (CVE-2018-15968)
  • Vulnerability Research Check Point Software Technologies Ltd. 経由の Omri Herscovici 氏 (CVE-2018-15956、CVE-2018-15955、CVE-2018-15954、CVE-2018-15953、CVE-2018-15952、CVE-2018-15938、CVE-2018-15937、CVE-2018-15936、CVE-2018-15935、CVE-2018-15934、CVE-2018-15933、CVE-2018-15932、CVE-2018-15931、CVE-2018-15930、CVE-2018-15929、CVE-2018-15928、CVE-2018-15927、CVE-2018-12875、CVE-2018-12874、CVE-2018-12873、CVE-2018-12872、CVE-2018-12871、CVE-2018-12870、CVE-2018-12869、CVE-2018-12867、CVE-2018-12866、CVE-2018-12865、CVE-2018-12864、CVE-2018-12863、CVE-2018-12862、CVE-2018-12861、CVE-2018-12860、CVE-2018-12859、CVE-2018-12857、CVE-2018-12839)
  • Tencent Security Xuanwu Lab の Ke Liu 氏(CVE-2018-15945、CVE-2018-15944、CVE-2018-15943、CVE-2018-15942、CVE-2018-15941、CVE-2018-15940、CVE-2018-15939、CVE-2018-15926、CVE-2018-12878、CVE-2018-12837、CVE-2018-12834)
  • Benjamin Brupbacher 氏(CVE-2018-12847)
  • Tencent Xuanwu Lab の Wei Wei 氏(@Danny__Wei)(CVE-2018-15966)