Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB19-55
情報 ID 公開日 優先度
APSB19-55 2019 年 12 月 10 日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。これらのアップデートは、クリティカルな脆弱性および重要な脆弱性を解決します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。    

対象のバージョン

製品名 トラッキング 対象のバージョン プラットフォーム
Acrobat DC  連続トラック 

2019.021.20056 とそれ以前のバージョン  Windows & macOS
Acrobat Reader DC 連続トラック  2019.021.20056 とそれ以前のバージョン  Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30152 とそれ以前のバージョン  Windows 
Acrobat 2017 Classic 2017 2017.011.30155 とそれ以前のバージョン macOS
Acrobat Reader 2017 Classic 2017 2017.011.30152 とそれ以前のバージョン Windows & macOS
       
Acrobat 2015  Classic 2015 2015.006.30505 とそれ以前のバージョン Windows & macOS
Acrobat Reader 2015 Classic 2015 2015.006.30505 とそれ以前のバージョン Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • ヘルプ/アップデートを確認を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートをご覧ください。

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

   

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2019.021.20058 Windows および macOS 2

Windows    

macOS  

Acrobat Reader DC 連続トラック 2019.021.20058
Windows および macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30156 Windows および macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30156 Windows および macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30508 Windows および macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30508 Windows および macOS 2

Windows

macOS

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
境界を越えた読み取り   情報漏えい   重要

CVE-2019-16449

CVE-2019-16456

CVE-2019-16457

CVE-2019-16458

CVE-2019-16461

CVE-2019-16465

境界を越えた書き込み  任意のコード実行    クリティカル

CVE-2019-16450

CVE-2019-16454

解放済みメモリ使用    任意のコード実行      クリティカル

CVE-2019-16445

CVE-2019-16448

CVE-2019-16452

CVE-2019-16459

CVE-2019-16464

ヒープオーバーフロー  任意のコード実行      クリティカル CVE-2019-16451
バッファーエラー 任意のコード実行      クリティカル CVE-2019-16462
信頼できないポインター逆参照 任意のコード実行  クリティカル

CVE-2019-16446

CVE-2019-16455

CVE-2019-16460

CVE-2019-16463

バイナリの植え付け(デフォルトフォルダの権限の昇格) 権限昇格 重要  CVE-2019-16444
セキュリティバイパス 任意のコード実行 クリティカル CVE-2019-16453

謝辞

一連の問題をご報告いただき、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Google Project Zero の Mateusz Jurczyk 氏および Trend Micro Zero Day Initiative と匿名者様のご協力(CVE-2019-16451)

  • Honc (章哲瑜)氏(CVE-2019-16444)

  • Tencent Security Xuanwu Lab の Ke Liu 氏。 (CVE-2019-16445、CVE-2019-16449、CVE-2019-16450、CVE-2019-16454)

  • Arizona State University、SEFCOM Lab の Sung Ta 氏(@Mipu94)(CVE-2019-16446、CVE-2019-16448)

  • Cisco Talos の Aleksandar Nikolic 氏(CVE-2019-16463)

  • HTBLA Leonding のテクニカルサポートチーム(CVE-2019-16453)

  • Baidu Security Lab の Haikuo Xie 氏(CVE-2019-16461)

  • Bit of STAR Labs (CVE-2019-16452)

  • Renmin University of China の Xinyu Wan 氏と Yiwei Zhang 氏(CVE-2019-16455、CVE-2019-16460、CVE-2019-16462)

  • Palo Alto Networks の Bo Qu 氏と Knownsec 404 セキュリティチームの Heige 氏(CVE-2019-16456)

  • Palo Alto Networks の Zhibin Zhang 氏(CVE-2019-16457)

  • Palo Alto Networks の Qi Deng 氏、Ken Hsu 氏(CVE-2019-16458)

  • Palo Alto Networks の Lexuan Sun 氏、Hao Cai 氏(CVE-2019-16459)

  • Palo Alto Networks の Yue Guan 氏、Haozhe Zhang 氏(CVE-2019-16464)

  • Palo Alto Networks の Hui Gao 氏(CVE-2019-16465)

  • Palo Alto Networks の Zhibin Zhang 氏、Yue Guan 氏(CVE-2019-16465)