Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-24
情報 ID 公開日 優先度
APSB20-24 2020 年 5 月 12 日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。これらのアップデートは、クリティカルな脆弱性および重要な脆弱性を解決します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。 


対象のバージョン

製品名 トラッキング 対象のバージョン プラットフォーム
Acrobat DC  連続トラック 

2020.006.20042 とそれ以前のバージョン  Windows & macOS
Acrobat Reader DC 連続トラック  2020.006.20042 とそれ以前のバージョン 
Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30166 とそれ以前のバージョン  Windows & macOS
Acrobat Reader 2017 Classic 2017 2017.011.30166 とそれ以前のバージョン Windows & macOS
       
Acrobat 2015  Classic 2015 2015.006.30518 とそれ以前のバージョン Windows & macOS
Acrobat Reader 2015 Classic 2015 2015.006.30518 とそれ以前のバージョン Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • ヘルプ/アップデートを確認を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートをご覧ください。

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

   

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2020.009.20063 Windows および macOS 2

Windows    

macOS  

Acrobat Reader DC 連続トラック 2020.009.20063
Windows および macOS 2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30171 Windows および macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30171 Windows および macOS 2

Windows

macOS

           
Acrobat 2015 Classic 2015 2015.006.30523 Windows および macOS 2

Windows

macOS

Acrobat Reader 2015 Classic 2015 2015.006.30523 Windows および macOS 2

Windows

macOS

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
ヌルポインター アプリケーションのサービス拒否 重要   

CVE-2020-9610

ヒープオーバーフロー 任意のコード実行          クリティカル  CVE-2020-9612
競合状態 セキュリティ機能のバイパス クリティカル CVE-2020-9615
境界を越えた書き込み 任意のコード実行          クリティカル 

CVE-2020-9597

CVE-2020-9594

セキュリティバイパス セキュリティ機能のバイパス クリティカル

CVE-2020-9614

CVE-2020-9613

CVE-2020-9596

CVE-2020-9592

スタック枯渇 アプリケーションのサービス拒否 重要  CVE-2020-9611
境界を越えた読み取り 情報漏えい  重要 

CVE-2020-9609

CVE-2020-9608

CVE-2020-9603

CVE-2020-9602

CVE-2020-9601

CVE-2020-9600

CVE-2020-9599

バッファーエラー 任意のコード実行          クリティカル 

CVE-2020-9605

CVE-2020-9604

解放済みメモリ使用    任意のコード実行          クリティカル 

CVE-2020-9607

CVE-2020-9606

無効なメモリアクセス 情報漏えい  重要 

CVE-2020-9598

CVE-2020-9595

CVE-2020-9593

謝辞

一連の問題をご報告いただき、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro の Zero Day Initiative と匿名ユーザーによる協力(CVE-2020-9597)
  • Cisco Talos の Aleksandar Nikolic 氏。(CVE-2020-9609、CVE-2020-9607)
  • Fluoroacetate 氏(CVE-2020-9606)
  • Trend Micro の Zero Day Initiative と L4N 氏による協力(CVE-2020-9612)
  • Qi’anxin Group の Legendsec の Codesafe Team の Liubenjin 氏(CVE-2020-9608)
  • iDefense Labs との連携による mipu94 による協力(CVE-2020-9594)
  • Network And Data Security 議長の Ruhr University Bochum の Christian Mainka 氏、Vladislav Mladenov 氏、Simon Rohlmann 氏、Jörg Schwenk 氏(CVE-2020-9592 および CVE-2020-9596)
  • Renmin University of China の Xinyu Wan、Yiwei Zhang、Wei You 氏(CVE-2020-9611、CVE-2020-9610、CVE-2020-9605、CVE-2020-9604、CVE-2020-9603、CVE-2020-9598、CVE-2020-9595、CVE-2020-9593)
  • Tencent Security Xuanwu Lab の Yuebin Sun氏 (@yuebinsun)(CVE-2020-9615、CVE-2020-9614、CVE-2020-9613)
  • Qihoo 360 の cdsrc の Zhiyuan Wang 氏および willJ 氏(CVE-2020-9602、CVE-2020-9601、CVE-2020-9600、CVE-2020-9599)