Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-67
情報 ID 公開日 優先度
APSB20-67 2020年11月03日 2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。このアップデートではクリティカル重要、および中度の脆弱性が解決されます。 この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。 


対象のバージョン

製品名 トラッキング 影響を受けるバージョン プラットフォーム
Acrobat DC  連続トラック 

2020.012.20048 以前のバージョン          
Windows & macOS
Acrobat Reader DC 連続トラック  2020.012.20048 以前のバージョン          
Windows & macOS
       
Acrobat 2020
Classic 2020           
2020.001.30005 以前のバージョン
Windows & macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30005 以前のバージョン
Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30175 以前のバージョン          
Windows & macOS
Acrobat Reader 2017 Classic 2017 2017.011.30175 以前のバージョン          
Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • ヘルプ/アップデートを確認を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートをご覧ください。

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

   

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック 2020.013.20064 Windows および macOS 2

Windows    

macOS  

Acrobat Reader DC 連続トラック 2020.013.20064
Windows および macOS 2

Windows


macOS

           
Acrobat 2020
Classic 2020           
2020.001.30010
Windows および macOS     
2

Windows    

macOS  

Acrobat Reader 2020
Classic 2020           
2020.001.30010
Windows および macOS     
2

Windows


macOS

           
Acrobat 2017 Classic 2017 2017.011.30180 Windows および macOS 2

Windows

macOS

Acrobat Reader 2017 Classic 2017 2017.011.30180 Windows および macOS 2

Windows

macOS

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
ヒープベースのバッファーオーバーフロー
任意のコード実行           
クリティカル 

CVE-2020-24435

不正なアクセス制御 ローカル権限昇格 
重要
CVE-2020-24433
不適切な入力検証 任意の JavaScript 実行
重要
CVE-2020-24432
署名検証バイパス
最小(多層防御の修正)
中度
CVE-2020-24439
署名認証バイパス ローカル権限昇格
重要 
CVE-2020-24429
不適切な入力検証 情報漏えい   
重要 
CVE-2020-24427
セキュリティ機能のバイパス 動的ライブラリインジェクション
重要 
CVE-2020-24431
境界を越えた書き込み   
任意のコード実行       
クリティカル 
CVE-2020-24436
領域外メモリー参照   
情報漏えい   
中度

CVE-2020-24426

CVE-2020-24434

競合状態 ローカル権限昇格
重要 
CVE-2020-24428
解放済みメモリ使用     
任意のコード実行       
クリティカル 

CVE-2020-24430

CVE-2020-24437

解放済みメモリ使用
情報漏えい
中度
CVE-2020-24438

謝辞

一連の問題をご報告いただき、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro の Zero Day Initiative と協力している Kimiya 氏(CVE-2020-24434、CVE-2020-24436)
  • Trend Micro Zero Day Initiative と協力している Mark Vincent Yason 氏(@MarkYason)(CVE-2020-24426、CVE-2020-24438)
  • Tencent Security Xuanwu Lab の Yuebin Sun 氏(@yuebinsun)(CVE-2020-24439)
  • Computest Research Division の Thijs Alkemade 氏(CVE-2020-24428、CVE-2020-24429)
  • Danish Cyber Defence の Lasse Trolle Borup 氏(CVE-2020-24433)
  • Cisco Talos の Aleksandar Nikolic 氏(CVE-2020-24435、CVE-2020-24437)
  • Haboob Labs( CVE-2020-24427)
  • Qihoo 360 CERT の Hou JingYi 氏(@hjy79425575)(CVE-2020-24431)
  • STAR Labs の Alan Chang Enze 氏(CVE-2020-24430)
  • Ruhr University Bochum、Chair for Network and Data Security の Simon Rohlmann 氏、Vladislav Mladenov 氏、Christian Mainka 氏、Jörg Schwenk 氏(CVE-2020-24432)