情報 ID
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-09
|
公開日 |
優先度 |
---|---|---|
APSB21-09 |
2021 年 2 月 9 日 |
1 |
要約
対象のバージョン
トラッキング |
対象のバージョン |
プラットフォーム |
|
Acrobat DC |
連続トラック |
2020.013.20074 以前のバージョン |
Windows & macOS |
Acrobat Reader DC |
連続トラック |
2020.013.20074 以前のバージョン |
Windows & macOS |
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30018 以前のバージョン |
Windows & macOS |
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30018 以前のバージョン |
Windows & macOS |
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30188 以前のバージョン |
Windows & macOS |
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30188 以前のバージョン |
Windows & macOS |
解決策
以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。
「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。
Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。
IT 管理者(管理環境)の場合:
インストーラーへのリンクについては、各リリースノートのバージョンを参照してください。
AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
トラッキング |
アップデートバージョン |
プラットフォーム |
優先度評価 |
入手方法 |
|
Acrobat DC |
連続トラック |
2021.001.20135 |
Windows および macOS |
1 |
|
Acrobat Reader DC |
連続トラック |
2021.001.20135 |
Windows および macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.001.30020 |
Windows および macOS |
1 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.001.30020 |
Windows および macOS |
1 |
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30190 |
Windows および macOS |
1 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30190 |
Windows および macOS |
1 |
脆弱性に関する詳細
脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | CVE 番号 |
---|---|---|---|
バッファオーバーフロー |
アプリケーションのサービス拒否 |
重要 |
CVE-2021-21046 |
ヒープベースのバッファーオーバーフロー |
任意のコード実行 |
クリティカル |
CVE-2021-21017 |
パストラバーサル |
任意のコード実行 |
クリティカル |
CVE-2021-21037 |
整数オーバーフロー |
任意のコード実行 |
クリティカル |
CVE-2021-21036 |
不正なアクセス制御 |
権限昇格 |
クリティカル |
CVE-2021-21045 |
領域外メモリー参照 |
権限昇格 |
重要 |
CVE-2021-21042 CVE-2021-21034 CVE-2021-21089 CVE-2021-40723 |
解放済みメモリ使用 |
情報漏えい |
重要 |
CVE-2021-21061 |
領域外メモリーへの書き出し |
任意のコード実行 |
クリティカル |
CVE-2021-21044 CVE-2021-21038 CVE-2021-21086 |
バッファオーバーフロー |
任意のコード実行 |
クリティカル |
CVE-2021-21058 CVE-2021-21059 CVE-2021-21062 CVE-2021-21063 |
NULLポインタ逆参照 |
情報漏えい |
重要 |
CVE-2021-21057 |
不適切な入力検証 |
情報漏えい |
重要 |
CVE-2021-21060 |
解放済みメモリ使用 |
任意のコード実行 |
クリティカル |
CVE-2021-21041 CVE-2021-21040 CVE-2021-21039 CVE-2021-21035 CVE-2021-21033 CVE-2021-21028 CVE-2021-21021 CVE-2021-21088 |
整合性チェックのサポートがありません |
セキュリティ機能のバイパス | 重要 | CVE-2021-28545 CVE-2021-28546 |
謝辞
一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。
- 匿名による報告(CVE-2021-21017)
- Nipun Gupta、Ashfaq Ansari、Krishnakant Patil - CloudFuzz 氏(CVE-2021-21041)
- Trend Micro Zero Day Initiative と取り組む Mark Vincent Yason 氏(@MarkYason)(CVE-2021-21042、CVE-2021-21034、CVE-2021-21089)
- Trend Micro Zero Day Initiative* と取り組む QiAnXin Technology Research Institute の Xu Peng 氏、Wang Yanhao 氏(CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
- Trend Micro Zero Day Initiative と取り組む AIOFuzzer 様(CVE-2021-21044、CVE-2021-21061、CVE-2021-21088)
- 天府杯 2020 国際サイバーセキュリティコンテストでの 360CDSRC 氏(CVE-2021-21037)
- CERT/CC の Will Dormann 氏(CVE-2021-21045)
- Xuwei Liu 氏(shellway)(CVE-2021-21046)
- 天府杯 2020 国際サイバーセキュリティコンテストでの胖氏(CVE-2021-21040)
- 天府杯 2020 国際サイバーセキュリティコンテストでの 360 政企安全漏洞研究院(CVE-2021-21039)
- 天府杯 2020 国際サイバーセキュリティコンテストでの蚂蚁安全光年实验室基础研究小组(CVE-2021-21038)
- 天府杯 2020 国際サイバーセキュリティコンテストでの CodeMaster 氏(CVE-2021-21036))
- Xinyu Wan 氏(wxyxsx)(CVE-2021-21057)
- Haboob Labs 氏(CVE-2021-21060)
- Palo Alto Networks の Ken Hsu 氏(CVE-2021-21058)
- Knwonsec 404 Team の Heige(a.k.a. SuperHei)、Palo Alto Networks の Ken Hsu 氏(CVE-2021-21059)
- Palo Alto Networks の Ken Hsu 氏、Bo Qu 氏(CVE-2021-21062)
- Palo Alto Networks の Zhibin Zhang 氏、Ken Hsu 氏(CVE-2021-21063)
- Google Project Zero の Mateusz Jurczyk 氏(CVE-2021-21086)
- Simon Rohlmann 氏、Vladislav Mladenov 氏、Christian Mainka 氏、Jörg Schwenk 氏(Chiar for Network and Data Security、Ruhr University Bochum)(CVE-2021-28545、CVE-2021-28546)
更新履歴
2021 年 2 月 10 日:CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063 の謝辞を更新しました。
2021 年 3 月 10 日:CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021 の謝辞を更新しました。
2021 年 3 月 17 日:CVE-2021-21086、CVE-2021-21088 および CVE-2021-21089 の詳細を追加しました。
2021 年 3 月 26 日:CVE-2021-28545、および CVE-2021-28546 の詳細を追加しました。
2021 年 9 月 29 日:CVE-2021-40723 の詳細を追加しました。