Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-05
情報 ID 公開日 優先度
APSB20-05 2020 年 2 月 11 日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。このアップデートではクリティカル重要、および中度の脆弱性が解決されます。 この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。 


対象のバージョン

製品名 トラッキング 対象のバージョン プラットフォーム
Acrobat DC  連続トラック 

2019.021.20061 とそれ以前のバージョン  Windows & macOS
Acrobat Reader DC 連続トラック   2019.021.20061 とそれ以前のバージョン  Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30156 とそれ以前のバージョン  Windows 
Acrobat Reader 2017 Classic 2017 2017.011.30156 とそれ以前のバージョン macOS
       
Acrobat 2015  Classic 2015 2015.006.30508 とそれ以前のバージョン Windows & macOS
Acrobat Reader 2015 Classic 2015 2015.006.30508 とそれ以前のバージョン Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • ヘルプ/アップデートを確認を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートをご覧ください。

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

   

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2020.006.20034 Windows および macOS 2

Windows    

macOS  

Acrobat Reader DC 連続トラック 2020.006.20034
Windows および macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30158 Windows および macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30158 Windows および macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30510 Windows および macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30510 Windows および macOS 2

Windows

macOS

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
境界を越えた読み取り   情報漏えい   重要

CVE-2020-3744

CVE-2020-3747

CVE-2020-3755    

ヒープオーバーフロー  任意のコード実行      クリティカル CVE-2020-3742
バッファーエラー 任意のコード実行      クリティカル

CVE-2020-3752

CVE-2020-3754    

解放済みメモリ使用 任意のコード実行  クリティカル

CVE-2020-3743

CVE-2020-3745

CVE-2020-3746

CVE-2020-3748

CVE-2020-3749

CVE-2020-3750

CVE-2020-3751    

スタック枯渇    
メモリリーク(Memory Leak)    
中度    

CVE-2020-3753  

CVE-2020-3756  

権限昇格 任意のファイルシステム書き込み クリティカル

CVE-2020-3762

CVE-2020-3763

謝辞

一連の問題をご報告いただき、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. の Zhiyuan Wang 氏と willJ 氏(CVE-2020-3747)
  • Tencent Security Xuanwu Lab の Ke Liu 氏(CVE-2020-3755)
  • 中国人民大学の Xinyu Wan 氏、Yiwei Zhang 氏、および Wei You 氏(CVE-2020-3743、CVE-2020-3745、CVE-2020-3746、CVE-2020-3749、CVE-2020-3750、CVE-2020-3752、CVE-2020-3754)
  • Trend Micro Zero Day Initiative と協力する TCA/SKLCS Institute of Software Chinese Academy of Sciences の Xu Peng 氏および Su Purui 氏(CVE-2020-3748)
  • Cisco Talos の Aleksandar Nikolic 氏。(CVE-2020-3744)
  • StackLeader @0x140ce @Jdddong @ppdonow(CVE-2020-3742)
  • Baidu Security Lab の Haikuo Xie 氏 (CVE-2020-3756、CVE-2020-3753)
  • McAfee の Sooraj K S (@soorajks) 氏(CVE-2020-3751)
  • iDefense Labs と協力する Csaba Fitzl (@theevilbit) 氏(CVE-2020-3762、CVE-2020-3763)