Adobe Reader および Acrobat 用セキュリティアップデート公開

リリース日:2014年9月16日

脆弱性識別番号: APSB14-20

優先度:以下の表を参照してください

CVE番号:CVE-2014-0560、CVE-2014-0561、CVE-2014-0562、CVE-2014-0563、CVE-2014-0565、CVE-2014-0566、CVE-2014-0567、CVE-2014-0568

プラットフォーム:Windows および Macintosh

概要

Windows版およびMacintosh版のAdobe ReaderおよびAcrobatを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Adobe Reader XI(11.0.08)以前のバージョンをご利用のお客様には、バージョン11.0.09へのアップデートを推奨します。
  • Adobe Reader X(10.1.11)以前のバージョンをご利用で、バージョン11.0.09にアップデートできないお客様には、バージョン10.1.12をご用意しました。
  • Adobe Acrobat XI(11.0.08)以前のバージョンをご利用のお客様には、バージョン11.0.09へのアップデートを推奨します。
  • Adobe Acrobat X(10.1.11)以前のバージョンをご利用で、バージョン11.0.09にアップデートできないお客様には、バージョン10.1.12をご用意しました。

対象ソフトウェアバージョン

  • Windows版のAdobe Reader XI(11.0.08)およびそれ以前の11.xバージョン
  • Macintosh版のAdobe Reader XI(11.0.07)およびそれ以前の11.xバージョン
  • Windows版のAdobe Reader X(10.1.11)およびそれ以前の10.xバージョン
  • Macintosh版のAdobe Reader X(10.1.10)およびそれ以前の10.xバージョン
  • Windows版のAdobe Acrobat XI(11.0.08)およびそれ以前の11.xバージョン
  • Macintosh版のAdobe Reader XI(11.0.07)およびそれ以前の11.xバージョン
  • Windows版のAdobe Acrobat X(10.1.11)およびそれ以前の10.xバージョン
  • Macintosh版のAdobe Reader X(10.1.10)およびそれ以前の10.xバージョン

解決方法

ユーザーの皆様には、以下の指示に従って、対象ソフトウェアにアップデートを適用することを推奨します。

Adobe Reader

製品のデフォルトのアップデートメカニズムでは、一定期間ごとに自動アップデートを実行する設定になっています。また、メニューからヘルプ/アップデートの有無をチェックを選択し、手動でアップデートの有無を確認することも可能です。

Windows版のAdobe Readerユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Macintosh版のAdobe Readerユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh

Adobe Acrobat

製品のデフォルトのアップデートメカニズムでは、一定期間ごとに自動アップデートを実行する設定になっています。また、メニューからヘルプ/アップデートの有無をチェックを選択し、手動でアップデートの有無を確認することも可能です。

Windows版のAcrobat StandardおよびProユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Macintosh版のAcrobat Proユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

優先度と緊急度の評価

アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 更新後のバージョン プラットフォーム 優先度評価
Adobe Reader XI 11.0.09
Windows および Macintosh
1
Adobe Reader X 10.1.12
Windows および Macintosh 1
Adobe Acrobat XI 11.0.09
Windows および Macintosh
1
Adobe Acrobat X
10.1.12
Windows および Macintosh
1

これらのアップデートは、対象ソフトウェアのクリティカルな脆弱性を解消します。

詳細

Windows版およびMacintosh版のAdobe ReaderおよびAcrobatを対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Adobe Reader XI(11.0.08)以前のバージョンをご利用のお客様には、バージョン11.0.09へのアップデートを推奨します。
  • Adobe Reader X(10.1.11)以前のバージョンをご利用で、バージョン11.0.09にアップデートできないお客様には、バージョン10.1.12をご用意しました。
  • Adobe Acrobat XI(11.0.08)以前のバージョンをご利用のお客様には、バージョン11.0.09へのアップデートを推奨します。
  • Adobe Acrobat X(10.1.11)以前のバージョンをご利用で、バージョン11.0.09にアップデートできないお客様には、バージョン10.1.12をご用意しました。

これらのアップデートは、コード実行の原因になりかねないUser-After-Free(解放したメモリの使用)の脆弱性を解消します(CVE-2014-0560)。

これらのアップデートは、Macintosh版ReaderおよびAcrobatで、ユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性を解消します(CVE-2014-0562)。

これらのアップデートは、メモリ破損に関連する、潜在的なサービス拒否(DoS)の脆弱性を解消します(CVE-2014-0563)。

これらのアップデートは、コード実行の原因になりかねないヒープベースのオーバーフローの脆弱性を解消します(CVE-2014-0561、CVE-2014-0567)。

これらのアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2014-0565、CVE-2014-0566)。

このアップデートは、Windows上で高い権限によりネイティブコードを実行するために悪用されるおそれがある、サンドボックスのバイパスに関する脆弱性をを解消します(CVE-2014-0568)。

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Verisign iDefense Labsと協力するNanyang Technological UniversityのWei LeiおよびWu Hongjun(CVE-2014-0560)
  • HPのZero Day Initiativeと協力するTom Ferris(CVE-2014-0561)
  • DetectifyのFrans Rosen(CVE-2014-0562)
  • Nanyang Technological UniversityのWei LeiおよびWu Hongjun(CVE-2014-0563、CVE-2014-0565、CVE-2014-0566)
  • HPのZero Day Initiative経由で報告をお寄せいただいた匿名の協力者様(CVE-2014-0567)
  • Google Project ZeroのJames Forshaw(CVE-2014-0568)