Adobe Reader および Acrobat 用セキュリティアップデート公開

リリース日: 2014年12月9日

脆弱性識別番号: APSB14-28

優先度:以下の表を参照してください

CVE番号:CVE-2014-9165、CVE-2014-8445、CVE-2014-9150、CVE-2014-8446、CVE-2014-8447、CVE-2014-8448、CVE-2014-8449、CVE-2014-8451、CVE-2014-8452、CVE-2014-8453、CVE-2014-8454、CVE-2014-8455、CVE-2014-8456、CVE-2014-8457、CVE-2014-8458、CVE-2014-8459、CVE-2014-8460、CVE-2014-8461、CVE-2014-9158、CVE-2014-9159

プラットフォーム:Windows および Macintosh

概要

Windows 版および Macintosh 版の Adobe Reader および Acrobat を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。  ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Adobe Reader XI(11.0.09)以前のバージョンをご利用のお客様には、バージョン11.0.10へのアップデートを推奨します。
  • Adobe Reader X(10.1.12)以前のバージョンをご利用のお客様には、バージョン 10.1.13へのアップデートを推奨します。
  • Adobe Acrobat XI(11.0.09)以前のバージョンをご利用のお客様には、バージョン11.0.10へのアップデートを推奨します。
  • Adobe Acrobat X(10.1.12)以前のバージョンをご利用のお客様には、バージョン 10.1.13へのアップデートを推奨します。

対象ソフトウェアバージョン

  • Adobe Reader XI(11.0.09)およびそれ以前の11.xバージョン
  • Adobe Reader X(10.1.12)およびそれ以前の10.xバージョン
  • Adobe Acrobat XI(11.0.09)およびそれ以前の11.xバージョン
  • Adobe Acrobat X(10.1.12)およびそれ以前の10.xバージョン

解決方法

ユーザーの皆様には、以下の指示に従って、対象ソフトウェアにアップデートを適用することを推奨します。

Adobe Reader

製品のデフォルトのアップデートメカニズムでは、一定期間ごとに自動アップデートを実行する設定になっています。また、メニューからヘルプ/アップデートの有無をチェックを選択し、手動でアップデートの有無を確認することも可能です。

Windows版のAdobe Readerユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Windows

Macintosh版のAdobe Readerユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==10&platform=Macintosh

 

Adobe Acrobat

製品のデフォルトのアップデートメカニズムでは、一定期間ごとに自動アップデートを実行する設定になっています。また、メニューからヘルプ/アップデートの有無をチェックを選択し、手動でアップデートの有無を確認することも可能です。

Windows版のAcrobat StandardおよびProユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Windows

Macintosh版のAcrobat Proユーザーの皆様は、ここから適切なアップデートを入手できます:http://www.adobe.com/support/downloads/product.jsp?product==1&platform=Macintosh

優先度と緊急度の評価

アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 更新後のバージョン プラットフォーム 優先度評価
Adobe Reader 11.0.10
Windows および Macintosh
1
  10.1.13
Windows および Macintosh 1
       
Adobe Acrobat 11.0.10
Windows および Macintosh
1
  10.1.13
Windows および Macintosh
1

これらのアップデートは、対象ソフトウェアのクリティカルな脆弱性を解消します。

詳細

Windows 版および Macintosh 版の Adobe Reader および Acrobat を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。  ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Adobe Reader XI(11.0.09)以前のバージョンをご利用のお客様には、バージョン11.0.10へのアップデートを推奨します。
  • Adobe Reader X(10.1.12)以前のバージョンをご利用のお客様には、バージョン 10.1.13へのアップデートを推奨します。
  • Adobe Acrobat XI(11.0.09)以前のバージョンをご利用のお客様には、バージョン11.0.10へのアップデートを推奨します。
  • Adobe Acrobat X(10.1.12)以前のバージョンをご利用のお客様には、バージョン 10.1.13へのアップデートを推奨します。

これらのアップデートは、コード実行の原因になりかねない解放後の使用の脆弱性を解消します(CVE-2014-8454、CVE-2014-8455、CVE-2014-9165)。

これらのアップデートは、コード実行の原因になりかねない、ヒープベースのバッファオーバーフローの脆弱性を解消します(CVE-2014-8457、CVE-2014-8460、CVE-2014-9159)。

これらのアップデートは、コード実行の原因になりかねない、整数オーバーフローの脆弱性を解消します(CVE-2014-8449)。

これらのアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2014-8445、CVE-2014-8446、CVE-2014-8447、CVE-2014-8456、CVE-2014-8458、CVE-2014-8459、CVE-2014-8461、CVE-2014-9158)。

これらのアップデートは、悪意のあるファイルシステムへの書き込みアクセスを可能にするために悪用されるおそれがある、タイムオブチェックタイムオブユーズ(TOCTOU)の競合状態を解消します(CVE-2014-9150)。

これらのアップデートは、情報漏えいの原因になりかねないJavascript API実装の脆弱性を解決します(CVE-2014-8448、CVE-2014-8451)

これらのアップデートは、情報漏えいの原因になりかねないXMLの外部エンティティの処理における脆弱性を解決します(CVE-2014-8452)。

これらのアップデートにより、同じ起源のポリシーを回避するために悪用されるおそれのある脆弱性が解消されます(CVE-2014-8453)。  

謝辞

この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Cure53.deのAlex Inführ氏(CVE-2014-8451、CVE-2014-8452、CVE-2014-8453)
  • Payatu TechnologiesのAshfaq Ansari氏(CVE-2014-8446)
  • FireEyeのCorbin Souffrant氏、Armin Buescher氏、Dan Caselden氏(CVE-2014-8454)
  • Trend MicroのJack Tang氏(CVE-2014-8447)
  • Google Project ZeroのJames Forshaw(CVE-2014-9150)
  • lokihardt@asrt氏(CVE-2014-8448)
  • Google Project ZeroのMateusz Jurczyk氏とGoogle Security TeamのGynvael Coldwind氏(CVE-2014-8455、CVE-2014-8456、CVE-2014-8457、CVE-2014-8458、CVE-2014-8459、CVE-2014-8460、CVE-2014-8461、CVE-2014-9158、CVE-2014-9159)
  • Agile Information SecurityのPedro Ribeiro氏(CVE-2014-8449)
  • Nanyang Technological UniversityのWei LeiおよびWu Hongjun(-8445、CVE-2014-、CVE-2014-9165)