Adobe セキュリティ速報

Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-51

情報 ID

公開日

優先度

APSB21-51

2021 年 7 月 13 日

2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートは、複数のクリティカルな脆弱性および重要な脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

 

対象のバージョン

製品名

トラッキング

対象のバージョン

プラットフォーム

Priority rating                 

Acrobat DC 

連続トラック 

2021.005.20054 以前のバージョン          

Windows および macOS

2

Acrobat Reader DC

連続トラック 

2021.005.20054 以前のバージョン          

Windows および macOS

2

 

 

 

 

2

Acrobat 2020

Classic 2020           

2020.004.30005 以前のバージョン

Windows & macOS

2

Acrobat Reader 2020

Classic 2020           

2020.004.30005 以前のバージョン

Windows & macOS

2

 

 

 

 

2

Acrobat 2017

Classic 2017

2017.011.30197 以前のバージョン          

Windows & macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30197 以前のバージョン          

Windows & macOS

2

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。 

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。   

IT 管理者(管理環境)の場合:

  • インストーラーへのリンクについては、各リリースノートのバージョンを参照してください。     

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。 

   

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。   

製品名

トラッキング

アップデートバージョン

プラットフォーム

優先度評価

入手方法

Acrobat DC

連続トラック

2021.005.20058

Windows および macOS

2

Acrobat Reader DC

連続トラック

2021.005.20058  

Windows および macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 

Windows および macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30006 

Windows および macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199

Windows および macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30199  

Windows および macOS

2

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVSS 基本スコア 
CVSS ベクター
CVE 番号

領域外メモリー参照 

CWE-125) 

メモリリーク (Memory Leak) 重要
3.3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-35988

CVE-2021-35987

パストラバーサル

CWE-22

任意のコード実行
クリティカル
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35980

CVE-2021-28644

解放済みメモリ使用

CWE-416

任意のコード実行 
クリティカル
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28640

型の混同 (Type Confusion)

CWE-843

任意のコード実行 
クリティカル
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28643

解放済みメモリ使用

CWE-416

任意のコード実行 
クリティカル
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28641

CVE-2021-28639

領域外メモリーへの書き出し

CWE-787

任意のファイルシステム書き込み
クリティカル
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28642

領域外メモリー参照

CWE-125

メモリリーク (Memory Leak)
クリティカル
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVE-2021-28637

型の混同 (Type Confusion)

CWE-843

任意のファイルシステム読み取り
重要
4.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVE-2021-35986

ヒープベースのバッファーオーバーフロー

CWE-122

任意のコード実行 
クリティカル
8.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-28638

NULLポインタ逆参照

CWE-476

アプリケーションのサービス拒否
重要
5.5
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-35985

CVE-2021-35984

制御されていない検索パスエレメント

CWE-427

任意のコード実行 
クリティカル
7.3
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVE-2021-28636

OS コマンドインジェクション

CWE-78

任意のコード実行 
クリティカル
8.2
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVE-2021-28634

解放済みメモリ使用 

CWE-416

任意のコード実行 
クリティカル
7.8 
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 

CVE-2021-35983

CVE-2021-35981

CVE-2021-28635

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro Zero Day Initiative にご協力いただいた Nipun Gupta氏、Ashfaq Ansari氏、Krishnakant Patil - CloudFuz氏(CVE-2021-35983)
  • Trend Micro Zero Day Initiative にご協力いただいた UCAS の Xu Peng 氏、 QiAnXin Technology Research Institute のWang Yanhao 氏(CVE-2021-35981, CVE-2021-28638)
  • Habooblabs(CVE-2021-35980、CVE-2021-28644、CVE-2021-35988、CVE-2021-35987、CVE-2021-28642、CVE-2021-28641、CVE-2021-35985、CVE-2021-35984、CVE-2021-28637)
  • Trend Micro の Zero Day Initiative と匿名者様による協力(CVE-2021-28643、CVE-2021-35986)
  • o0xmuhe 氏(CVE-2021-28640)
  • Trend Micro Zero Day Initiative と協力して取り組む Trend Micro Security Research の Kc Udonsi 氏 (@glitchnsec)(CVE-2021-28639)
  • Noah 氏(howsubtle)(CVE-2021-28634)
  • Xu peng 氏(xupeng_1231)(CVE-2021-28635)
  • Xavier Invers Fornells氏(m4gn3t1k)(CVE-2021-28636)

更新履歴

2021 年 7 月 14 日:CVE-2021-28640 の謝辞の詳細を更新。

2021 年 7 月 15 日:CVE-2021-35981 の謝辞の詳細を更新

2021 年 7 月 29 日:CVE-2021-28640、CVE-2021-28637、CVE-2021-28636 の CVSS ベーススコアと CVSS ベクターを更新
2021 年 7 月 29 日:CVE-2021-35988、CVE-2021-35987、CVE-2021-35987、CVE-2021-35987、CVE-2021-28644 の CVSS ベーススコアおよび CVSS ベクターの脆弱性の影響、重大度を更新



 

 


For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合