Adobe Reader および Acrobat 用セキュリティアップデート公開

リリース日:2015 年 12 月 5 日

脆弱性識別番号: APSB15-10

優先度:以下の表を参照してください

CVE 番号: CVE-2014-8452、CVE-2014-9160、CVE-2014-9161、CVE-2015-3046、CVE-2015-3047、CVE-2015-3048、CVE-2015-3049、CVE-2015-3050、CVE-2015-3051、CVE-2015-3052、CVE-2015-3053、CVE-2015-3054、CVE-2015-3055、CVE-2015-3056、CVE-2015-3057、CVE-2015-3058、CVE-2015-3059、CVE-2015-3060、CVE-2015-3061、CVE-2015-3062、CVE-2015-3063、CVE-2015-3064、CVE-2015-3065、CVE-2015-3066、CVE-2015-3067、CVE-2015-3068、CVE-2015-3069、CVE-2015-3070、CVE-2015-3071、CVE-2015-3072、CVE-2015-3073、CVE-2015-3074、CVE-2015-3075、CVE-2015-3076

プラットフォーム:Windows および Macintosh

概要

Windows 版および Macintosh 版の Adobe Reader および Acrobat を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。ユーザーの皆様には所定の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Adobe Reader XI (11.0.10)以前のバージョンをご利用のお客様には、バージョン 11.0.11 へのアップデートを推奨します。

  • Adobe Reader X (10.1.13)以前のバージョンをご利用のお客様には、バージョン 10.1.14 へのアップデートを推奨します。

  • Adobe Acrobat XI (11.0.10)以前のバージョンをご利用のお客様には、バージョン 11.0.11 へのアップデートを推奨します。

  • Adobe Acrobat X (10.1.13)以前のバージョンをご利用のお客様には、バージョン 10.1.14 へのアップデートを推奨します。

対象ソフトウェアバージョン

  • Adobe Reader XI (11.0.10)およびそれ以前の 11.x バージョン

  • Adobe Reader X (10.1.13)およびそれ以前の 10.x バージョン

  • Adobe Acrobat XI (11.0.10)およびそれ以前の 11.x バージョン

  • Adobe Acrobat X (10.1.13)およびそれ以前の 10.x バージョン

注: Adobe Acrobat Reader DC は、このセキュリティ情報の CVE 参照の対象ではありません。

 

解決方法

ユーザーの皆様には、以下の指示に従って、対象ソフトウェアにアップデートを適用することを推奨します。

Adobe Reader

製品のデフォルトのアップデートメカニズムでは、一定期間ごとに自動アップデートを実行する設定になっています。また、メニューからヘルプ/アップデートの有無をチェックを選択し、手動でアップデートの有無を確認することも可能です。

Windows 版の Adobe Reader ユーザーの皆様は、こちらから適切なアップデートを入手できます: http://www.adobe.com/jp/support/downloads/product.jsp?product=10&platform=Windows

Macintosh 版の Adobe Reader ユーザーの皆様は、こちらから適切なアップデートを入手できます: http://www.adobe.com/jp/support/downloads/product.jsp?product=10&platform=Macintosh

 

Adobe Acrobat

製品のデフォルトのアップデートメカニズムでは、一定期間ごとに自動アップデートを実行する設定になっています。また、メニューからヘルプ/アップデートの有無をチェックを選択し、手動でアップデートの有無を確認することも可能です。

Windows 版の Acrobat Standard および Pro ユーザーの皆様は、こちらから適切なアップデートを入手できます: http://www.adobe.com/jp/support/downloads/product.jsp?product=1&platform=Windows

Macintosh 版の Acrobat Pro ユーザーの皆様は、こちらから適切なアップデートを入手できます: http://www.adobe.com/jp/support/downloads/product.jsp?product=1&platform=Macintosh

優先度と緊急度の評価

アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 更新後のバージョン プラットフォーム 優先度評価
Adobe Reader 11.0.11
Windows および Macintosh
1
  10.1.14
Windows および Macintosh 1
       
Adobe Acrobat 11.0.11 Windows および Macintosh 1
  10.1.14 Windows および Macintosh 1

これらのアップデートは、対象ソフトウェアのクリティカルな脆弱性を解消します。

詳細

Windows 版および Macintosh 版の Adobe Reader および Acrobat を対象としたセキュリティアップデートが公開されました。これらのアップデートにより、対象システムが攻撃者に制御されるおそれのある脆弱性が解消されます。  ユーザーの皆様には以下の情報に基づき、対象ソフトウェアにアップデートを適用することを推奨します。

  • Adobe Reader XI (11.0.10)以前のバージョンをご利用のお客様には、バージョン 11.0.11 へのアップデートを推奨します。

  • Adobe Reader X (10.1.13)以前のバージョンをご利用のお客様には、バージョン 10.1.14 へのアップデートを推奨します。

  • Adobe Acrobat XI (11.0.10)以前のバージョンをご利用のお客様には、バージョン 11.0.11 へのアップデートを推奨します。

  • Adobe Acrobat X (10.1.13)以前のバージョンをご利用のお客様には、バージョン 10.1.14 へのアップデートを推奨します。

これらのアップデートは、コード実行の原因になりかねない解放後の使用の脆弱性を解消します(CVE-2015-3053、CVE-2015-3054、CVE-2015-3055、CVE-2015-3059、CVE-2015-3075)。

これらのアップデートは、コード実行の原因になりかねない、ヒープベースのバッファオーバーフローの脆弱性を解消します(CVE-2014-9160)。

このアップデートは、コード実行の原因になりかねない、ヒープオーバーフローの脆弱性を解消します(CVE-2015-3048)。

これらのアップデートは、コード実行の原因になりかねない、メモリ破損の脆弱性を解消します(CVE-2014-9161、CVE-2015-3046、CVE-2015-3049、CVE-2015-3050、CVE-2015-3051、CVE-2015-3052、CVE-2015-3056、CVE-2015-3057、CVE-2015-3070、CVE-2015-3076)

これらのアップデートはメモリリークを解消します(CVE-2015-3058)。

これらのアップデートは、Javascript API 実行の制限をバイパスするさまざまな方法を解消します(CVE-2015-3060、CVE-2015-3061、CVE-2015-3062、CVE-2015-3063、 CVE-2015-3064、CVE-2015-3065、CVE-2015-3066、CVE-2015-3067、CVE-2015-3068、CVE-2015-3069、CVE-2015-3071、CVE-2015-3072、CVE-2015-3073、CVE-2015-3074)。

これらのアップデートはサービス拒否条件になりかねない Null ポインタ逆参照問題を解消します(CVE-2015-3047)。

これらのアップデートは、情報漏えいになりかねない XML 外部エンティティの処理の脆弱性である CVE-2014-8452 に対する保護を強化します。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Alibaba Security Research Team の侵入者(CVE-2015-3070)

  • HP の Zero Day Initiative と協力する lokihardt@asr(CVE-2015-3074)

  • Google Project Zero の Mateusz Jurczyk 氏(CVE-2015-3049、CVE-2015-3050、CVE-2015-3051、CVE-2015-3052)

  • Google Project Zero の Mateusz Jurczyk 氏および Google Security Team の Gynvael Coldwind 氏(CVE-2014-9160、CVE-2014-9161)

  • HP Zero Day Initiative と協力する Simon Zuckerbraun 氏(CVE-2015-3060、CVE-2015-3062)

  • Wei Lei、Wu Hongjun および Wang Jing、Nanyang Technological University (CVE-2015-3047)

  • Wei Lei および Wu Hongjun、Nanyang Technological University (CVE-2015-3046)

  • Xiaoning Li of Intel Labs および Haifei Li、McAfee Labs IPS Team (CVE-2015-3048)