Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-49
情報 ID 公開日 優先度
APSB19-49 2019 年 10 月 15 日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。これらのアップデートは、クリティカルな脆弱性および重要な脆弱性を解決します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。    

対象のバージョン

製品名 トラッキング 対象のバージョン プラットフォーム
Acrobat DC  連続トラック 

2019.012.20040 とそれ以前のバージョン  Windows & macOS
Acrobat Reader DC 連続トラック  2019.012.20040 とそれ以前のバージョン  Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30148 とそれ以前のバージョン   Windows & macOS
Acrobat Reader 2017 Classic 2017 2017.011.30148 とそれ以前のバージョン Windows & macOS
       
Acrobat 2015  Classic 2015 2015.006.30503 とそれ以前のバージョン  Windows & macOS
Acrobat Reader 2015 Classic 2015 2015.006.30503 とそれ以前のバージョン Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • ヘルプ/アップデートを確認を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートをご覧ください。

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

   

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2019.021.20047 Windows および macOS 2

Windows    

macOS  

Acrobat Reader DC 連続トラック 2019.021.20047
Windows および macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30150 Windows および macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30150 Windows および macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30504 Windows および macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30504 Windows および macOS 2

Windows

macOS

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
境界を越えた読み取り   情報漏えい   重要

CVE-2019-8164

CVE-2019-8168

CVE-2019-8172

CVE-2019-8173

CVE-2019-8064

CVE-2019-8182

CVE-2019-8184

CVE-2019-8185

CVE-2019-8189

CVE-2019-8163

CVE-2019-8190

CVE-2019-8193

CVE-2019-8194

CVE-2019-8198

CVE-2019-8201

CVE-2019-8202

CVE-2019-8204

CVE-2019-8207

CVE-2019-8216

CVE-2019-8218

CVE-2019-8222

境界を越えた書き込み  任意のコード実行    クリティカル

CVE-2019-8171

CVE-2019-8186

CVE-2019-8165

CVE-2019-8191

CVE-2019-8199

CVE-2019-8206

解放済みメモリ使用    任意のコード実行      クリティカル

CVE-2019-8175

CVE-2019-8176

CVE-2019-8177

CVE-2019-8178

CVE-2019-8179

CVE-2019-8180

CVE-2019-8181

CVE-2019-8187

CVE-2019-8188

CVE-2019-8192

CVE-2019-8203

CVE-2019-8208

CVE-2019-8209

CVE-2019-8210

CVE-2019-8211

CVE-2019-8212

CVE-2019-8213

CVE-2019-8214

CVE-2019-8215

CVE-2019-8217

CVE-2019-8219

CVE-2019-8220

CVE-2019-8221

CVE-2019-8223

CVE-2019-8224

CVE-2019-8225

ヒープオーバーフロー  任意のコード実行      クリティカル

CVE-2019-8170

CVE-2019-8183

CVE-2019-8197

バッファオーバーラン 任意のコード実行      クリティカル CVE-2019-8166
クロスサイトスクリプティング  情報漏えい 重要  CVE-2019-8160
競合状態 任意のコード実行   クリティカル CVE-2019-8162
セキュリティメカニズムの実装の不備 情報漏えい 重要  CVE-2019-8226
型の混同 (Type Confusion) 任意のコード実行   クリティカル

CVE-2019-8161

CVE-2019-8167

CVE-2019-8169

CVE-2019-8200

信頼できないポインター逆参照 任意のコード実行  クリティカル

CVE-2019-8174

CVE-2019-8195

CVE-2019-8196

CVE-2019-8205

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。    

  • Trend Micro の Zero Day Initiative と匿名者様による協力(CVE-2019-8203、CVE-2019-8208、CVE-2019-8210、CVE-2019-8217、CVE-2019-8219、CVE-2019-8225)

  • Trend Micro の Zero Day Initiative と Baidu Security Lab の Haikuo Xie 氏による協力(CVE-2019-8209、CVE-2019-8223) 

  • Trend Micro の Zero Day Initiative と Viettel Cyber Security の hungtt28 氏による協力(CVE-2019-8204)

  • Trend Micro の Zero Day Initiative と Juan Pablo Lopez Yacubian 氏による協力(CVE-2019-8172) 

  • Tencent Security Xuanwu Lab の Ke Liu 氏(CVE-2019-8199、CVE-2019-8200、CVE-2019-8201、CVE-2019-8202)

  • Trend Micro の Zero Day Initiative と L4Nce による協力(CVE-2019-8064)

  • Trend Micro の Zero Day Initiative の Mat Powell 氏(CVE-2019-8166、CVE-2019-8175、CVE-2019-8178、CVE-2019-8179、CVE-2019-8180、CVE-2019-8181、CVE-2019-8187、CVE-2019-8188、CVE-2019-8189、CVE-2019-8163、CVE-2019-8190、CVE-2019-8165、CVE-2019-8191)

  • Google Project Zero の Mateusz Jurczyk 氏(CVE-2019-8195、CVE-2019-8196、CVE-2019-8197)

  • Trend Micro の Zero Day Initiative と peternguyen による協力(CVE-2019-8176、CVE-2019-8224)

  • Trend Micro の Zero Day Initiative と Source Incite の Steven Seeley 氏(mr_me)による協力(CVE-2019-8170、CVE-2019-8171、CVE-2019-8173、CVE-2019-8174)

  • Knownsec 404 Security Team の Heige 氏(http://www.knownsec.com/)(CVE-2019-8160)

  • Codemize Security Research Lab の Xizsmin 氏と Lee JinYoung 氏(CVE-2019-8218)

  • Arizona State University、SEFCOM Lab の Mipu94 氏(CVE-2019-8211、CVE-2019-8212、CVE-2019-8213、CVE-2019-8214、CVE-2019-8215) 

  • Source Incite の Esteban Ruiz 氏(mr_me)(CVE-2019-8161、CVE-2019-8164、CVE-2019-8167、CVE-2019-8168、CVE-2019-8169、CVE-2019-8182)

  • STAR Labs の Ta Dinh Sung 氏(CVE-2019-8220、CVE-2019-8221) 

  • Flexera の Secunia Research の Behzad Najjarpour Jabbari 氏(CVE-2019-8222)

  • Cisco Talos の Aleksandar Nikolic 氏(CVE-2019-8183) 

  • Viettel Cyber Security の Nguyen Hong Quang 氏(https://twitter.com/quangnh89)(CVE-2019-8193)

  • Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. の Zhiyuan Wang 氏と willJ 氏(CVE-2019-8185、CVE-2019-8186)

  • Qihoo360 CoreSecurity (@360CoreSec)の Yangkang 氏(@dnpushme)、Li Qi 氏(@leeqwind)および Yang Jianxiong 氏(@sinkland)(CVE-2019-8194)

  • Codemize Security Research Lab (http://codemize.co.kr)の Lee JinYoung 氏(CVE-2019-8216)

  • Palo Alto Networks の Bo Qu 氏と Knownsec 404 セキュリティチームの Heige 氏(CVE-2019-8205)

  • Palo Alto Networks の Zhibin Zhang 氏(CVE-2019-8206) 

  • Andrew Hart 氏(CVE-2019-8226)

  • Trend Micro の Zero Day Initiative と peternguyen 氏(meepwn ctf)による協力(CVE-2019-8192、CVE-2019-8177)

  • Baidu Security Lab の Haikuo Xie 氏(CVE-2019-8184)

  • Qihoo 360 Core Security の Zhiniang Peng 氏 および 華南理工大学の Jiadong Lu 氏(CVE-2019-8162)

更新履歴

2019 年 11 月 11 日:CVE-2019-8195 および CVE-2019-8196 の謝辞を追加。