Adobe セキュリティ速報

Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-55

情報 ID

公開日

優先度

APSB21-55

2021 年 9 月 14 日

2

要約

Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートは、複数のクリティカル重要、および中度の脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねません。

 

対象のバージョン

製品名

トラッキング

対象のバージョン

プラットフォーム

Acrobat DC 

連続トラック 

2021.005.20060 以前のバージョン          

Windows

Acrobat Reader DC

連続トラック 

2021.005.20060 以前のバージョン          

Windows

Acrobat DC 

連続トラック 

2021.005.20058 以前のバージョン          

macOS

Acrobat Reader DC

連続トラック 

2021.005.20058 以前のバージョン          

macOS

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30006 以前のバージョン

Windows & macOS

Acrobat Reader 2020

Classic 2020           

2020.004.30006 以前のバージョン

Windows & macOS

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30199  以前のバージョン          

Windows & macOS

Acrobat Reader 2017

Classic 2017

2017.011.30199  以前のバージョン          

Windows & macOS

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。 

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。   

IT 管理者(管理環境)の場合:

  • インストーラーへのリンクについては、各リリースノートのバージョンを参照してください。     

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。 

   

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。   

製品名

トラッキング

アップデートバージョン

プラットフォーム

優先度評価

入手方法

Acrobat DC

連続トラック

2021.007.20091 

Windows および macOS

2

Acrobat Reader DC

連続トラック

2021.007.20091 

Windows および macOS

2

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

2020.004.30015

Windows および macOS     

2

Acrobat Reader 2020

Classic 2020           

2020.004.30015

Windows および macOS     

2

 

 

 

 

 

 

Acrobat 2017

Classic 2017

2017.011.30202

Windows および macOS

2

Acrobat Reader 2017

Classic 2017

2017.011.30202

Windows および macOS

2

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVSS 基本スコア 
CVSS ベクター
CVE 番号

型の混乱(CWE-843

任意のコード実行

クリティカル 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39841

ヒープベースのバッファーオーバーフロー

CWE-122

任意のコード実行

クリティカル  

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39863

情報漏えい

CWE-200

任意のファイルシステム読み取り

中度

3.8

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39857

CVE-2021-39856

CVE-2021-39855

領域外メモリー参照

CWE-125

メモリリーク (Memory Leak)

クリティカル   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39844

領域外メモリー参照

CWE-125

メモリリーク (Memory Leak)

重要

5.3

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39861

領域外メモリー参照

CWE-125

任意のファイルシステム読み取り

中度

3.3

 

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-39858

領域外メモリーへの書き出し

CWE-787

メモリリーク (Memory Leak)

クリティカル 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39843

スタックベースバッファオーバーフロー 

CWE-121

任意のコード実行

クリティカル   

7.7

CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:H

CVE-2021-39846

CVE-2021-39845

制御されていない検索パスエレメント

CWE-427

任意のコード実行

重要

7.3

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35982

解放済みメモリ使用

CWE-416

任意のコード実行

重要

4.4

CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2021-39859

解放済みメモリ使用

CWE-416

任意のコード実行

クリティカル 

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-39840

CVE-2021-39842

CVE-2021-39839

CVE-2021-39838

CVE-2021-39837

CVE-2021-39836

NULL ポインター逆参照(CWE-476

メモリリーク (Memory Leak)

重要

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39860

NULL ポインター逆参照(CWE-476

アプリケーションのサービス拒否

重要  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39852

NULL ポインター逆参照(CWE-476

アプリケーションのサービス拒否

重要

5.5

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVE-2021-39854

CVE-2021-39853

CVE-2021-39850

CVE-2021-39849

 

NULL ポインター逆参照(CWE-476

アプリケーションのサービス拒否

重要  

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

 CVE-2021-39851

解放済みメモリ使用

CWE-416

任意のコード実行
クリティカル   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40725

解放済みメモリ使用

CWE-416

任意のコード実行
クリティカル   
7.8 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-40726

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro Zero Day Initiative と Mark Vincent Yason(@MarkYason)氏による協力(CVE-2021-39841、CVE-2021-39836、CVE-2021-39837、CVE-2021-39838、CVE-2021-39839、CVE-2021-39840、CVE-2021-40725、CVE-2021-40726)
  • Haboob Labs (CVE-2021-39859、CVE-2021-39860、CVE-2021-39861、CVE-2021-39843、CVE-2021-39844、CVE-2021-39845、CVE-2021-39846)
  • Robert Chen 氏(Deep Surface<https://deepsurface.com/>)CVE-2021-35982)
  • UCAS の XuPeng 氏、QI-ANXIN Technology Research Institute の Ying Lingyun 氏(CVE-2021-39854、CVE-2021-39853、CVE-2021-39852、CVE-2021-39851、CVE-2021-39850、CVE-2021-39849)
  • j00sean 様(CVE-2021-39857、CVE-2021-39856、CVE-2021-39855、CVE-2021-39842)
  • Exodus Intelligence(exodusintel.com)と Andrei Stefan 氏(CVE-2021-39863)
  • Trend Micro Zero Day Initiative と協力する Baidu Security Lab の Qiao Li 氏 (CVE-2021-39858)

更新履歴

2021 年 9 月 20 日:CVE-2021-35982 の謝辞の詳細を更新。

2021 年 9 月 28 日:CVE-2021-39863 の謝辞の詳細を更新。

2021 年 10 月 5 日 : CVE-2021-39852、CVE-2021-39851、CVE-2021-39863、CVE-2021-39860、および CVE-2021-39861 の CVSS 基本スコア、CVSS ベクター と 深刻度を更新。CVE-2021-40725 および CVE-2021-40726 に関するデータと謝辞を更新

2022 年 1 月 18 日:CVE-2021-39854、CVE-2021-39853、CVE-2021-39852、CVE-2021-39851、CVE-2021-39850、CVE-2021-39849 に対する謝辞の詳細を更新



 

 


詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合