Adobe セキュリティ速報

Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-09

情報 ID

公開日

優先度

APSB21-09

2021 年 2 月 9 日

1

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。これらのアップデートは、複数のクリティカルな脆弱性および重要な脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

アドビは、Windows 上の Adobe Reader ユーザーを標的とした限定的な攻撃において CVE-2021-21017 が悪用されたという報告を受けました。

対象のバージョン

製品名

トラッキング

対象のバージョン

プラットフォーム

Acrobat DC 

連続トラック 

2020.013.20074 以前のバージョン          

Windows & macOS

Acrobat Reader DC

連続トラック 

2020.013.20074 以前のバージョン          

Windows & macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30018 以前のバージョン

Windows & macOS

Acrobat Reader 2020

Classic 2020           

2020.001.30018 以前のバージョン

Windows & macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30188 以前のバージョン          

Windows & macOS

Acrobat Reader 2017

Classic 2017

2017.011.30188 以前のバージョン          

Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。 

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。   

IT 管理者(管理環境)の場合:

  • インストーラーへのリンクについては、各リリースノートのバージョンを参照してください。     

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。 

   

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。   

製品名

トラッキング

アップデートバージョン

プラットフォーム

優先度評価

入手方法

Acrobat DC

連続トラック

2021.001.20135       

Windows および macOS

1

Acrobat Reader DC

連続トラック

2021.001.20135   

Windows および macOS

1

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.001.30020

Windows および macOS     

1

Acrobat Reader 2020

Classic 2020           

2020.001.30020

Windows および macOS     

1

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30190  

Windows および macOS

1

Acrobat Reader 2017

Classic 2017

2017.011.30190  

Windows および macOS

1

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
バッファオーバーフロー
アプリケーションのサービス拒否
重要
CVE-2021-21046
ヒープベースのバッファーオーバーフロー
任意のコード実行
クリティカル
CVE-2021-21017
パストラバーサル
任意のコード実行
クリティカル
CVE-2021-21037
整数オーバーフロー
任意のコード実行
クリティカル
CVE-2021-21036
不正なアクセス制御
権限昇格
クリティカル
CVE-2021-21045
領域外メモリー参照
権限昇格
重要

CVE-2021-21042

CVE-2021-21034

CVE-2021-21089

CVE-2021-40723

解放済みメモリ使用
情報漏えい
重要
CVE-2021-21061
領域外メモリーへの書き出し
任意のコード実行
クリティカル

CVE-2021-21044

CVE-2021-21038

CVE-2021-21086

バッファオーバーフロー
任意のコード実行
クリティカル

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

NULLポインタ逆参照
情報漏えい
重要
CVE-2021-21057
不適切な入力検証
情報漏えい
重要
CVE-2021-21060
解放済みメモリ使用
任意のコード実行
クリティカル

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

CVE-2021-21088

整合性チェックのサポートがありません
セキュリティ機能のバイパス 重要

CVE-2021-28545

CVE-2021-28546

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。 

  • 匿名による報告(CVE-2021-21017)
  • Nipun Gupta、Ashfaq Ansari、Krishnakant Patil - CloudFuzz 氏(CVE-2021-21041)
  • Trend Micro Zero Day Initiative と取り組む Mark Vincent Yason 氏(@MarkYason)(CVE-2021-21042、CVE-2021-21034、CVE-2021-21089)
  • Trend Micro Zero Day Initiative* と取り組む QiAnXin Technology Research Institute の Xu Peng 氏、Wang Yanhao 氏(CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
  • Trend Micro Zero Day Initiative と取り組む AIOFuzzer 様(CVE-2021-21044、CVE-2021-21061、CVE-2021-21088)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの 360CDSRC 氏(CVE-2021-21037)
  • CERT/CC の Will Dormann 氏(CVE-2021-21045)
  •  Xuwei Liu 氏(shellway)(CVE-2021-21046)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの胖氏(CVE-2021-21040)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの 360 政企安全漏洞研究院(CVE-2021-21039)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの蚂蚁安全光年实验室基础研究小组(CVE-2021-21038)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの CodeMaster 氏(CVE-2021-21036))
  •  Xinyu Wan 氏(wxyxsx)(CVE-2021-21057)
  • Haboob Labs 氏(CVE-2021-21060)
  • Palo Alto Networks の Ken Hsu 氏(CVE-2021-21058)
  • Knwonsec 404 Team の Heige(a.k.a. SuperHei)、Palo Alto Networks の Ken Hsu 氏(CVE-2021-21059)
  • Palo Alto Networks の Ken Hsu 氏、Bo Qu 氏(CVE-2021-21062)
  • Palo Alto Networks の Zhibin Zhang 氏、Ken Hsu 氏(CVE-2021-21063)
  • Google Project Zero の Mateusz Jurczyk 氏(CVE-2021-21086)
  • Simon Rohlmann 氏、Vladislav Mladenov 氏、Christian Mainka 氏、Jörg Schwenk 氏(Chiar for Network and Data Security、Ruhr University Bochum)(CVE-2021-28545、CVE-2021-28546)

更新履歴

2021 年 2 月 10 日:CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-21063 の謝辞を更新しました。

2021 年 3 月 10 日:CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021 の謝辞を更新しました。

2021 年 3 月 17 日:CVE-2021-21086、CVE-2021-21088 および CVE-2021-21089 の詳細を追加しました。

2021 年 3 月 26 日:CVE-2021-28545、および CVE-2021-28546 の詳細を追加しました。

2021 年 9 月 29 日:CVE-2021-40723 の詳細を追加しました。





 

 

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合

Adobe MAX 2024

Adobe MAX
クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX

クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX 2024

Adobe MAX
クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX

クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン