Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-09
情報 ID 公開日 優先度
APSB21-09 2021年2月09日 1

要約

Windows 版および macOS 版の Adobe Acrobat および Reader に関するセキュリティアップデートが公開されました。これらのアップデートは、複数のクリティカルな脆弱性および重要な脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

アドビは、Windows 上の Adobe Reader ユーザーを標的とした限定的な攻撃において CVE-2021-21017 が悪用されたという報告を受けました。

対象のバージョン

製品名 トラッキング 影響を受けるバージョン プラットフォーム
Acrobat DC  連続トラック 

2020.013.20074 以前のバージョン          
Windows & macOS
Acrobat Reader DC 連続トラック  2020.013.20074 以前のバージョン          
Windows & macOS
       
Acrobat 2020
Classic 2020           
2020.001.30018 とそれ以前のバージョン
Windows & macOS
Acrobat Reader 2020
Classic 2020           
2020.001.30018 とそれ以前のバージョン
Windows & macOS
       
Acrobat 2017 Classic 2017 2017.011.30188 以前のバージョン          
Windows & macOS
Acrobat Reader 2017 Classic 2017 2017.011.30188 以前のバージョン          
Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。

IT 管理者(管理環境)の場合:

  • インストーラーへのリンクについては、各リリースノートのバージョンを参照してください。     

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。

   

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 トラッキング アップデートバージョン プラットフォーム 優先度評価 入手方法
Acrobat DC 連続トラック

2021.001.20135       

Windows および macOS 1 リリースノート     
Acrobat Reader DC 連続トラック 2021.001.20135   
Windows および macOS 1 リリースノート     
           
Acrobat 2020
Classic 2020           
2020.001.30020 
Windows および macOS     
1 リリースノート     
Acrobat Reader 2020
Classic 2020           
2020.001.30020 
Windows および macOS     
1 リリースノート     
           
Acrobat 2017 Classic 2017 2017.011.30190  
Windows および macOS 1 リリースノート     
Acrobat Reader 2017 Classic 2017 2017.011.30190  
Windows および macOS 1 リリースノート     

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
バッファオーバーフロー
アプリケーションのサービス拒否
重要
CVE-2021-21046
ヒープベースのバッファーオーバーフロー
任意のコード実行
クリティカル
CVE-2021-21017
パストラバーサル
任意のコード実行
クリティカル
CVE-2021-21037
整数オーバーフロー
任意のコード実行
クリティカル
CVE-2021-21036
不正なアクセス制御
権限昇格
クリティカル
CVE-2021-21045
領域外メモリー参照
権限昇格
重要

CVE-2021-21042

CVE-2021-21034

解放済みメモリ使用
情報漏えい
重要
CVE-2021-21061
領域外メモリーへの書き出し
任意のコード実行
クリティカル

CVE-2021-21044

CVE-2021-21038

バッファオーバーフロー
任意のコード実行
クリティカル

CVE-2021-21058

CVE-2021-21059

CVE-2021-21062

CVE-2021-21063

NULLポインタ逆参照
情報漏えい
重要
CVE-2021-21057
不適切な入力検証
情報漏えい
重要
CVE-2021-21060
解放済みメモリ使用
任意のコード実行
クリティカル

CVE-2021-21041

CVE-2021-21040

CVE-2021-21039

CVE-2021-21035

CVE-2021-21033

CVE-2021-21028

CVE-2021-21021

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。 

  • 匿名による報告(CVE-2021-21017)
  • Nipun Gupta、Ashfaq Ansari、Krishnakant Patil - CloudFuzz 氏(CVE-2021-21041)
  • Trend Micro Zero Day Initiative と協力している Mark Vincent Yason 氏(@MarkYason)(CVE-2021-21042、CVE-2021-21034)
  • Trend Micro の Zero Day Initiative とご協力いただいたFenghan_zuijinyoukonma_woxiangyueniyiqichifankandianying 氏(CVE-2021-21035、CVE-2021-21033、CVE-2021-21028、CVE-2021-21021)
  • Trend Micro の Zero Day Initiative とご協力いただいた AIOFuzzer 氏(CVE-2021-21044、CVE-2021-21061)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの 360CDSRC 氏(CVE-2021-21037)
  • CERT/CC の Will Dormann 氏(CVE-2021-21045)
  •  Xuwei Liu 氏(shellway)(CVE-2021-21046)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの胖氏(CVE-2021-21040)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの 360 政企安全漏洞研究院(CVE-2021-21039)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの蚂蚁安全光年实验室基础研究小组(CVE-2021-21038)
  • 天府杯 2020 国際サイバーセキュリティコンテストでの CodeMaster 氏(CVE-2021-21036))
  •  Xinyu Wan 氏(wxyxsx)(CVE-2021-21057)
  • Haboob Labs 氏(CVE-2021-21060)
  • Zhibin Zhang 氏(zzbthechaos)(CVE-2021-21058、CVE-2021-21059、CVE-2021-21062、CVE-2021-210663)