Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-07
情報 ID 公開日 優先度
APSB19-07 2019 年 2 月 12 日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートは、クリティカルな脆弱性および重要の脆弱性を解決します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。    

対象のバージョン

製品名 トラッキング 対象のバージョン プラットフォーム
Acrobat DC  連続トラック 
2019.010.20069 とそれ以前のバージョン 
Windows および macOS
Acrobat Reader DC 連続トラック
2019.010.20069 とそれ以前のバージョン Windows および macOS
       
Acrobat 2017 Classic 2017 2017.011.30113 とそれ以前のバージョン Windows および macOS
Acrobat Reader 2017 Classic 2017 2017.011.30113 とそれ以前のバージョン Windows および macOS
       
Acrobat DC  Classic 2015 2015.006.30464 とそれ以前のバージョン  Windows および macOS
Acrobat Reader DC  Classic 2015 2015.006.30464 とそれ以前のバージョン  Windows および macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。
  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートを参照してください。
  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

アドビは、これらのアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2019.010.20091 Windows および macOS 2 Windows

macOS
Acrobat Reader DC 連続トラック 2019.010.20091
Windows および macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30120 Windows および macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30120 Windows および macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30475 Windows および macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30475 Windows および macOS 2 Windows

macOS

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
バッファーエラー 任意のコード実行  クリティカル 

CVE-2019-7020

CVE-2019-7085

データ漏洩(機密) 情報漏えい クリティカル  CVE-2019-7089
ダブルフリー 任意のコード実行  クリティカル  CVE-2019-7080
整数オーバーフロー 情報漏えい クリティカル  CVE-2019-7030
境界を越えた読み取り 情報漏えい 重要

CVE-2019-7021

CVE-2019-7022

CVE-2019-7023

CVE-2019-7024

CVE-2019-7028

CVE-2019-7032

CVE-2019-7033

CVE-2019-7034

CVE-2019-7035

CVE-2019-7036

CVE-2019-7038

CVE-2019-7045

CVE-2019-7047

CVE-2019-7049

CVE-2019-7053

CVE-2019-7055

CVE-2019-7056

CVE-2019-7057

CVE-2019-7058

CVE-2019-7059

CVE-2019-7063

CVE-2019-7064

CVE-2019-7065

CVE-2019-7067

CVE-2019-7071

CVE-2019-7073

CVE-2019-7074 

CVE-2019-7081

セキュリティバイパス 権限昇格 クリティカル 

CVE-2018-19725

CVE-2019-7041

境界を越えた書き込み 任意のコード実行  クリティカル 

CVE-2019-7019

CVE-2019-7027

CVE-2019-7037

CVE-2019-7039

CVE-2019-7052

CVE-2019-7060

CVE-2019-7079

型の混同 (Type Confusion) 任意のコード実行   クリティカル

CVE-2019-7069

CVE-2019-7086

CVE-2019-7087

信頼できないポインター逆参照 任意のコード実行    クリティカル

CVE-2019-7042

CVE-2019-7046

CVE-2019-7051

CVE-2019-7054

CVE-2019-7066

CVE-2019-7076

解放済みメモリ使用  任意のコード実行   クリティカル 

CVE-2019-7018

CVE-2019-7025 

CVE-2019-7026

CVE-2019-7029 

CVE-2019-7031

CVE-2019-7040 

CVE-2019-7043

CVE-2019-7044 

CVE-2019-7048

CVE-2019-7050 

CVE-2019-7062

CVE-2019-7068 

CVE-2019-7070

CVE-2019-7072 

CVE-2019-7075

CVE-2019-7077 

CVE-2019-7078

CVE-2019-7082 

CVE-2019-7083

CVE-2019-7084 

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro の Zero Day Initiative 経由の Sebastian Apelt 氏(CVE-2019-7044、CVE-2019-7045、CVE-2019-7048)

  • Trend Micro の Zero Day Initiative 経由の Abdul-Aziz Hariri 氏(CVE-2018-19725、CVE-2019-7041) 

  • Qihoo 360 Vulcan Team の Linan Hao 氏と Qihoo 360 Vulcan Team の Zhenjie Jia 氏(CVE-2019-7018、CVE-2019-7019、CVE-2019-7020、CVE-2019-7021、CVE-2019-7022、CVE-2019-7023、CVE-2019-7024、CVE-2019-7029)

  • iDefense Labs と協力する @j00sean 氏(CVE-2019-7040)

  • 360Security (CVE-2019-7030)

  • Cisco Talos の Aleksandar Nikolic 氏(CVE-2019-7039)

  • Trend Micro の Zero Day Initiative と匿名ユーザーによる協力(CVE-2019-7077)

  • Palo Alto Network の Gal De Leon 氏(CVE-2019-7025) 

  • Trend Micro の Zero Day Initiative と Juan Pablo Lopez Yacubian による協力(CVE-2019-7078)

  • Trend Micro の Zero Day Initiative と kdot 氏による協力(CVE-2019-7049)

  • Tencent Security Xuanwu Lab の Ke Liu 氏(CVE-2019-7033、CVE-2019-7034、CVE-2019-7035、CVE-2019-7036、CVE-2019-7037、CVE-2019-7038、CVE-2019-7047)

  • Trend Micro の Zero Day Initiative の Mat Powell 氏(CVE-2019-7071、CVE-2019-7072、CVE-2019-7073、CVE-2019-7074、CVE-2019-7075)

  • Check Point Research の Yoav Alon 氏と Netanel Ben-Simon 氏(CVE-2019-7080、CVE-2019-7081)

  • Trend Micro の Zero Day Initiative 経由の Steven Seeley 氏(CVE-2019-7069、CVE-2019-7070)

  • Trend Micro の Zero Day Initiative と T3rmin4t0r 氏による協力(CVE-2019-7042、CVE-2019-7043)

  • iDefense Labs と Source Incite の Steven Seeley 氏(mr_me)による協力(CVE-2019-7084、CVE-2019-7085、CVE-2019-7086、CVE-2019-7087)

  • Tencent Atuin Team (CVE-2019-7031、CVE-2019-7032)

  • TCA/SKLCS Institute of Software Chinese Academy of Sciences の Xu Peng 氏と Su Purui 氏(CVE-2019-7076)

  • Qihoo 360 Vulcan Team の Zhenjie Jia 氏(CVE-2019-7062、CVE-2019-7063、CVE-2019-7064、CVE-2019-7067)

  • Trend Micro の Zero Day Initiative と Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. の Zhiyuan Wang 氏による協力(CVE-2019-7079)

  • Palo Alto Networks の Bo Qu 氏と Knownsec 404 セキュリティチームの Heige 氏(CVE-2019-7065、CVE-2019-7066、CVE-2019-7068)

  • Palo Alto Networks の Zhibin Zhang 氏(CVE-2019-7026、CVE-2019-7027、CVE-2019-7028、CVE-2019-7082)

  • Palo Alto Networks の Qi Deng 氏(CVE-2019-7046、CVE-2019-7050、CVE-2019-7051、CVE-2019-7083)

  • Palo Alto Networks の Hui Gao 氏(CVE-2019-7052、CVE-2019-7053、CVE-2019-7054) 

  • Palo Alto Networks の Zhaoyan Xu 氏(CVE-2019-7055、CVE-2019-7056、CVE-2019-7057)

  • Palo Alto Networks の Zhanglin He 氏(CVE-2019-7058、CVE-2019-7059、CVE-2019-7060)