Adobe Acrobat および Reader に関する事前通知セキュリティ情報

Adobe Acrobat および Reader に関する事前通知セキュリティ情報  | APSB23-01

情報 ID

公開日

優先度

Adobe Acrobat および Reader に関する事前通知セキュリティ情報  | APSB23-01

2023 年 1 月 10 日

3

要約


アドビは、2023 年 1 月 10 日に Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートをリリースする予定です。                

最新情報は、次の URL からアクセスできる Adobe Product Security Incident Response Team(PSIRT)の Web ページ  (https://helpx.adobe.com/security.html)で確認することができます。

(注:この事前通知セキュリティ情報はリリースの時点でセキュリティ速報に置き換わります。)                                   

対象のバージョン

これらのアップデートは、クリティカルな脆弱性および重要な脆弱性を解決します。この脆弱性が悪用されると、アプリケーションのサービス拒否、任意のコード実行、権限昇格、メモリリークにつながる恐れがあります。

アドビは、次の優先度をこれらのアップデートに割り当てます。   

製品名

トラッキング

対象のバージョン

プラットフォーム

Acrobat DC 

Continuous 

22.003.20282(Win)、22.003.20281(Mac)およびそれ以前のバージョン

Windows および  macOS

Acrobat Reader DC

Continuous 


22.003.20282(Win)、22.003.20281(Mac)およびそれ以前のバージョン

 

Windows および macOS




     

Acrobat 2020

Classic 2020           

20.005.30418 以前のバージョン

 

Windows および macOS

Acrobat Reader 2020

Classic 2020           

20.005.30418 以前のバージョン

Windows および macOS

Acrobat DC に関するご質問については、Acrobat DC FAQ ページを参照してください。   

Adobe Acrobat DC に関する詳細については、https://helpx.adobe.com/acrobat/faq.html を参照してください。                

Adobe Acrobat Reader DC に関する詳細については、https://helpx.adobe.com/reader/faq.html を参照してください。              

 

解決策

以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。

最新バージョンは、次のいずれかの方法で入手可能です。

  • 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。

  • 製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。 

  • Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。   

IT 管理者(管理環境)の場合:

  • インストーラーへのリンクについては、各リリースノートのバージョンを参照してください。     

  • AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。 

   

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。   

製品名

トラッキング

アップデートバージョン

プラットフォーム

優先度評価

入手方法

Acrobat DC

Continuous

22.003.20310

Windows および macOS

3

Acrobat Reader DC

Continuous

22.003.20310

Windows および macOS

3

 

 

 

 

 

 

Acrobat 2020

Classic 2020           

20.005.30436

Windows および macOS  

3

Acrobat Reader 2020

Classic 2020 

20.005.30436

Windows  および macOS 

3

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVSS 基本スコア CVSS ベクター CVE 番号
整数オーバーフローまたはラップアラウンド (CWE-190
任意のコード実行
クリティカル 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21579
領域外メモリー参照(CWE-125
メモリリーク(Memory Leak) 重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21581
領域外メモリー参照(CWE-125
メモリリーク(Memory Leak) 重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21585
NULL ポインター逆参照(CWE-476
アプリケーションのサービス拒否
重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-21586
スタックベースのバッファオーバーフロー(CWE-121)
任意のコード実行
クリティカル
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21604
ヒープベースのバッファオーバーフロー(CWE-122
任意のコード実行
クリティカル 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21605
領域外メモリーへの書き出し(CWE-787
任意のコード実行
クリティカル
7.8
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21606
不適切な入力検証(CWE-20)
任意のコード実行
クリティカル
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21607
解放済みメモリ使用(CWE-416
任意のコード実行
クリティカル
7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21608
領域外メモリーへの書き出し(CWE-787
任意のコード実行
クリティカル 7.8 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21609
スタックベースのバッファオーバーフロー(CWE-121)
任意のコード実行
クリティカル
7.8
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CVE-2023-21610
安全な設計原則への違反 (CWE-657)
権限昇格
重要 6.4 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21611
安全な設計原則への違反 (CWE-657)
権限昇格
重要
5.6 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N
CVE-2023-21612
領域外メモリー参照(CWE-125
メモリリーク
重要 5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2023-21613
領域外メモリー参照(CWE-125
メモリリーク
重要
5.5 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-21614

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。

  • Trend Micro の Zero Day Initiative にご協力いただいた 0x1byte - CVE-2023-21579、CVE-2023-21581、CVE-2023-21605
  • Koh M. Nakagawa 氏(Ko Kato)(tsunekoh)- CVE-2023-21611、CVE-2023-21612
  • Trend Micro の Zero Day Initiative の Mat Powell 氏 - CVE-2023-21585、CVE-2023-21606、CVE-2023-21607、CVE-2023-21613、  CVE-2023-21614
  • KMFL(kmf)- CVE-2023-21586
  • Trend Micro の Zero Day Initiative にご協力いただいた匿名者様 - CVE-2023-21609
  • Vancir(vancir)- CVE-2023-21610
  • Trend Micro Zero Day Initiative にご協力いただいた HackSys Inc の Ashfaq Ansari 氏と Krishnakant Patil 氏(CVE-2023-21608)





 

更新履歴:

2022 年 11 月 7 日:CVE-2022-38437 の「謝辞」を改訂


詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合

Adobe MAX 2024

Adobe MAX
クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX

クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX 2024

Adobe MAX
クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン

Adobe MAX

クリエイティブカンファレンス

10 月 14 日~ 16 日 マイアミビーチおよびオンライン