Adobe Acrobat および Reader に関するセキュリティ速報 | APSB19-41
情報 ID 公開日 優先度
APSB19-41 2019 年 8 月 13 日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。これらのアップデートは重要の脆弱性に対応します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。    

対象のバージョン

これらのアップデートは、対象ソフトウェアの重要の脆弱性に対応します。アドビシステム社は、次の優先度をこれらのアップデートに割り当てます。

製品名 トラッキング 対象のバージョン プラットフォーム
Acrobat DC  連続トラック 

2019.012.20034 とそれ以前のバージョン  macOS
Acrobat DC  連続トラック  2019.012.20035 とそれ以前のバージョン Windows
Acrobat Reader DC 連続トラック

2019.012.20034 とそれ以前のバージョン  macOS
Acrobat Reader DC 連続トラック  2019.012.20035 とそれ以前のバージョン  Windows
       
Acrobat DC  Classic 2017 2017.011.30142 とそれ以前のバージョン   macOS
Acrobat DC  Classic 2017 2017.011.30143 とそれ以前のバージョン Windows
Acrobat Reader DC Classic 2017 2017.011.30142 とそれ以前のバージョン macOS
Acrobat Reader DC Classic 2017 2017.011.30143 とそれ以前のバージョン Windows
       
Acrobat DC  Classic 2015 2015.006.30497 とそれ以前のバージョン  macOS
Acrobat DC  Classic 2015 2015.006.30498 とそれ以前のバージョン Windows
Acrobat Reader DC  Classic 2015 2015.006.30497 とそれ以前のバージョン  macOS
Acrobat Reader DC Classic 2015 2015.006.30498 とそれ以前のバージョン Windows

Acrobat DC に関するご質問については、Acrobat DC FAQ ページを参照してください。

Acrobat Reader DC に関するご質問については、Acrobat Reader DC FAQ ページ
を参照してください。

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • ヘルプ/アップデートを確認を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートをご覧ください。

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。 

   

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2019.012.20036 Windows および macOS 2

Windows    

macOS  

Acrobat Reader DC 連続トラック 2019.012.20036

Windows および macOS 2

Windows



macOS

           
Acrobat DC Classic 2017 2017.011.30144 Windows および macOS 2

Windows

macOS


Acrobat Reader DC Classic 2017 2017.011.30144 Windows および macOS 2

Windows

macOS


           
Acrobat DC Classic 2015 2015.006.30499 Windows および macOS 2

Windows

macOS


Acrobat Reader DC Classic 2015 2015.006.30499 Windows および macOS 2

Windows

macOS


脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号

境界を越えた読み取り   

 

 

情報漏えい   

 

 

重要   

 

 

CVE-2019-8077

CVE-2019-8094

CVE-2019-8095

CVE-2019-8096

CVE-2019-8102

CVE-2019-8103

CVE-2019-8104

CVE-2019-8105

CVE-2019-8106

CVE-2019-8002

CVE-2019-8004

CVE-2019-8005

CVE-2019-8007

CVE-2019-8010

CVE-2019-8011

CVE-2019-8012

CVE-2019-8018

CVE-2019-8020

CVE-2019-8021

CVE-2019-8032

CVE-2019-8035

CVE-2019-8037

CVE-2019-8040

CVE-2019-8043

CVE-2019-8052

境界を越えた書き込み   

 

 

任意のコード実行    

 

 

重要

 

 

CVE-2019-8098

CVE-2019-8100

CVE-2019-7965

CVE-2019-8008

CVE-2019-8009

CVE-2019-8016

CVE-2019-8022

CVE-2019-8023

CVE-2019-8027

コマンドインジェクション  任意のコード実行   重要  CVE-2019-8060

解放済みメモリ使用   

 

 

任意のコード実行     

 

 

重要 

 

 

CVE-2019-8003

CVE-2019-8013

CVE-2019-8024

CVE-2019-8025

CVE-2019-8026

CVE-2019-8028

CVE-2019-8029

CVE-2019-8030

CVE-2019-8031

CVE-2019-8033

CVE-2019-8034

CVE-2019-8036

CVE-2019-8038

CVE-2019-8039

CVE-2019-8047

CVE-2019-8051

CVE-2019-8053

CVE-2019-8054

CVE-2019-8055

CVE-2019-8056

CVE-2019-8057
 CVE-2019-8058

CVE-2019-8059

CVE-2019-8061

ヒープオーバーフロー 

 

 

任意のコード実行     

 

 

重要 

 

 

CVE-2019-7832

CVE-2019-8014

CVE-2019-8015

CVE-2019-8041

CVE-2019-8042

CVE-2019-8046

CVE-2019-8049

CVE-2019-8050

バッファーエラー  任意のコード実行       重要   CVE-2019-8048
ダブルフリー  任意のコード実行      重要    CVE-2019-8044 
整数オーバーフロー 情報漏えい 重要 

CVE-2019-8099

CVE-2019-8101

内部 IP の漏えい   重要  CVE-2019-8097
型の混同 (Type Confusion) 任意のコード実行   重要  CVE-2019-8019 

信頼できないポインター逆参照

 

 

任意のコード実行 

 

 

重要 

 

 

CVE-2019-8006

CVE-2019-8017

CVE-2019-8045

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。     

  • FireEye Inc. の Dhanesh Kizhakkinan 氏(CVE-2019-7832)

  • TCA/SKLCS Institute of Software Chinese Academy of Sciences の Xu Peng 氏と Su Purui 氏、および Qi'anxin Group の Codesafe チームの Legendsec の Codesafe Team(CVE-2019-8029、CVE-2019-8030, CVE-2019-8031)

  • (A.K.)Karim Zidani、独立系セキュリティ研究者、https://imAK.xyz/(CVE-2019-8097)

  • Trend Micro Zero Day Initiative と協力する匿名者(CVE-2019-8033、CVE-2019-8037)

  • BUGFENSE Anonymous Bug Bounties https://bugfense.io(CVE-2019-8015)

  • Trend Micro Zero Day Initiative と協力する Baidu Security Lab の Haikuo Xie 氏(CVE-2019-8035)

  • STAR Labs の Wei Lei 氏(CVE-2019-8009、CVE-2019-8018、CVE-2019-8010、CVE-2019-8011)

  • Qihoo360 CoreSecurity(@360CoreSec)の Li Qi 氏(@leeqwind) & Wang Lei 氏(@CubestoneW) & Liao Bangjie 氏(@b1acktrac3)(CVE-2019-8012)

  • Tencent Security Xuanwu Lab の Ke Liu 氏(CVE-2019-8094、CVE-2019-8095、CVE-2019-8096、CVE-2019-8004、CVE-2019-8005、CVE-2019-8006、CVE-2019-8077、CVE-2019-8003、CVE-2019-8020、CVE-2019-8021、CVE-2019-8022、CVE-2019-8023)

  • Baidu Security Lab の Haikuo Xie 氏(CVE-2019-8032、CVE-2019-8036)

  • Trend Micro Zero Day Initiative と協力する ktkitty 氏(https://ktkitty.github.io)(CVE-2019-8014)

  • Trend Micro Zero Day Initiative の Mat Powell 氏(CVE-2019-8008、CVE-2019-8051、CVE-2019-8053、CVE-2019-8054、CVE-2019-8056、CVE-2019-8057、CVE-2019-8058、CVE-2019-8059)

  • Google Project Zero の Mateusz Jurczyk 氏(CVE-2019-8041、CVE-2019-8042、CVE-2019-8043、CVE-2019-8044、CVE-2019-8045、CVE-2019-8046、CVE-2019-8047、CVE-2019-8048、CVE-2019-8049、CVE-2019-8050)

  • Michael Bourque 氏(CVE-2019-8007)

  • Trend Micro Zero Day Initiative と協力する peternguyen 氏(CVE-2019-8013、CVE-2019-8034)

  • Trend Micro Zero Day Initiative の Simon Zuckerbraun 氏(CVE-2019-8027)

  • Trend Micro Zero Day Initiative の Steven Seeley 氏(CVE-2019-8019)

  • iDefense Labs(https://vcp.idefense.com/)と協力する Source Incite の Steven Seeley 氏(mr_me)(CVE-2019-8098、CVE-2019-8099、CVE-2019-8100、CVE-2019-8101、CVE-2019-8102、CVE-2019-8103、CVE-2019-8104、CVE-2019-8106、CVE-2019-7965、CVE-2019-8105)

  • Trend Micro Zero Day Initiative と協力する willJ 氏(CVE-2019-8040、CVE-2019-8052)

  • iDefense Labs(https://vcp.idefense.com/)と協力する Esteban Ruiz 氏(mr_me)(CVE-2019-8002)

  • Palo Alto Networks および Heige of Knownsec 404 Security Team の Bo Qu 氏(CVE-2019-8024、CVE-2019-8061、CVE-2019-8055)

  • Palo Alto Networks の Zhaoyan Xu 氏、Hui Gao 氏(CVE-2019-8026、CVE-2019-8028)

  • Alto Networks の Lexuan Sun 氏、Hao Cai 氏(CVE-2019-8025)

  • Trend Micro Zero Day Initiative と協力する Bit of STARLabs(CVE-2019-8038、CVE-2019-8039)