最終更新日 :
2022年1月14日
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB17-24
|
公開日 |
優先度 |
|
|---|---|---|
|
APSB17-24 |
2017年8月8日 |
2 |
要約
対象のバージョン
Acrobat DC に関する詳細については、Acrobat DC FAQ ページを参照してください。
Acrobat Reader DC に関する詳細については、Acrobat Reader DC FAQ ページを参照してください。
解決策
以下の
手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。
- 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
- 製品のアップデート
が検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。 - Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。
IT 管理者(管理環境)の場合:
- エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートを参照してください。
- AIP-GPO、bootstrapper、SCUP/SCCM
(Windows 版)、あるいは Macintosh 版の場合であれは Apple Remote Desktop および SSH
など、好みの方法でアップデートをインストールします。
アドビは、これらのアップデートの優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
| 製品名 | アップデートバージョン | プラットフォーム | 優先度評価 | 入手方法 |
|---|---|---|---|---|
| Acrobat DC (Continuous Track) | 2017.012.20098 |
Windows および Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC(Continuous Track) | 2017.012.20098 | Windows および Macintosh | 2 | ダウンロードセンター |
| Acrobat 2017 | 2017.011.30066 | Windows および Macintosh | 2 | Windows Macintosh |
| Acrobat Reader 2017 | 2017.011.30066 | Windows および Macintosh | 2 | Windows Macintosh |
| Acrobat DC (Classic Track) | 2015.006.30355 |
Windows および Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC(Classic Track) | 2015.006.30355 |
Windows および Macintosh | 2 | Windows Macintosh |
| Acrobat XI | 11.0.21 | Windows および Macintosh | 2 | Windows Macintosh |
| Reader XI | 11.0.21 | Windows および Macintosh | 2 | Windows Macintosh |
注意:
バージョン 11.0.22 は、11.0.21 で導入された XFA フォーム機能のリグレッションの影響を受けるユーザーに提供されます(詳細はこちらを参照)。 このセキュリティ情報で参照するすべてのセキュリティ上の脆弱性は 11.0.22 と 11.0.21 の両方で解決します。
脆弱性に関する詳細
| 脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | CVE 番号 |
|---|---|---|---|
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-3016 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-3038 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-3113 |
| データの真正の不十分な検証 | 情報漏えい | 重要 | CVE-2017-3115 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-3116 |
| ヒープオーバーフロー | リモートコード実行 | クリティカル | CVE-2017-3117 |
| セキュリティバイパス | 情報漏えい | 重要 | CVE-2017-3118 |
| メモリ破損 | リモートコード実行 | 重要 | CVE-2017-3119 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-3120 |
| ヒープオーバーフロー | リモートコード実行 | クリティカル | CVE-2017-3121 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-3122 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-3123 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-3124 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11209 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11210 |
| ヒープオーバーフロー | リモートコード実行 | クリティカル | CVE-2017-11211 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11212 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11214 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11216 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11217 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-11218 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-11219 |
| ヒープオーバーフロー | リモートコード実行 | クリティカル | CVE-2017-11220 |
| タイプの混乱 | リモートコード実行 | クリティカル | CVE-2017-11221 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11222 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-11223 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-11224 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11226 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11227 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11228 |
| セキュリティバイパス | リモートコード実行 | 重要 | CVE-2017-11229 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11230 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-11231 |
| 解放済みメモリ使用 | 情報漏えい | 重要 | CVE-2017-11232 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11233 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11234 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-11235 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11236 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11237 |
| メモリ破損 | 情報漏えい | クリティカル | CVE-2017-11238 |
| メモリ破損 | 情報漏えい | クリティカル | CVE-2017-11239 |
| ヒープオーバーフロー | リモートコード実行 | クリティカル | CVE-2017-11241 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11242 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11243 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11244 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11245 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11246 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11248 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11249 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11251 |
| メモリ破損 | 情報漏えい | クリティカル | CVE-2017-11252 |
| 解放済みメモリ使用 | リモートコード実行 | 重要 | CVE-2017-11254 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11255 |
| 解放済みメモリ使用 | リモートコード実行 | クリティカル | CVE-2017-11256 |
| タイプの混乱 | リモートコード実行 | クリティカル | CVE-2017-11257 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11258 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11259 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11260 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11261 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11262 |
| メモリ破損 | リモートコード実行 | 重要 | CVE-2017-11263 |
| メモリ破損 | 情報漏えい | 重要 | CVE-2017-11265 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11267 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11268 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11269 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11270 |
| メモリ破損 | リモートコード実行 | クリティカル | CVE-2017-11271 |
注意:
CVE-2017-3038 は 2017.009.20044 および 2015.006.30306 (2017 年 4 月リリース)で解決されましたが、この修正はバージョン 11.0.20 では不完全でした。この脆弱性は、バージョン 11.0.21 (2017 年 8 月リリース)で完全に解決されています。
謝辞
この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、
アドビより厚く御礼を申し上げます。
- Trend Micro の Zero Day Initiative と @vftable 氏による協力(CVE-2017-11211、CVE-2017-11251)
- Cisco Talos の Aleksandar Nikolic 氏(CVE-2017-11263)
- Cure53 の Alex Infuhr 氏(CVE-2017-11229)
- Project Srishti の Ashfaq Ansari 氏(CVE-2017-11221)
- iDefense Vulnerability Contributor Program と Project Srishti の Ashfaq Ansari 氏による協力(CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- Trend Micro の Zero Day Initiative 経由で報告をお寄せいただいた匿名の協力者様(CVE-2017-3113、CVE-2017-3120、CVE-2017-11218、CVE-2017-11224、CVE-2017-11223)
- Trend Micro の Zero Day Initiative と Fernando Munoz 氏による協力(CVE-2017-3115)
- Trend Micro の Zero Day Initiative と STEALIEN & HIT の Giwan Go 氏による協力(CVE-2017-11228、CVE-2017-11230)
- Knonsec 404 Team の Heige 氏(a.k.a. SuperHei)(CVE-2017-11222)
- Trend Micro の Zero Day Initiative と Jaanus Kp Clarified Security による協力(CVE-2017-11236、CVE-2017-11237、CVE-2017-11252、CVE-2017-11231、CVE-2017-11265)
- Trend Micro の Zero Day Initiative と Jaanus Kp Clarified Security による協力 - Trend Micro の Zero Day Initiative と Project Srishti による協力(CVE-2017-11231)
- Tencent KeenLab の Jihui Lu 氏(CVE-2017-3119)
- Trend Micro の Zero Day Initiative と kdot 氏による協力(CVE-2017-11234、CVE-2017-11235、CVE-2017-11271)
- Trend Micro の Zero Day Initiative と Tencent's Xuanwu LAB の Ke Liu 氏による協力(CVE-2017-3121、CVE-2017-3122、CVE-2017-11212、CVE-2017-11216、CVE-2017-11217、CVE-2017-11238、CVE-2017-11239、CVE-2017-11241、CVE-2017-11242、CVE-2017-11243、CVE-2017-11244、CVE-2017-11245、CVE-2017-11246、CVE-2017-11248、CVE-2017-11249、CVE-2017-11233、CVE-2017-11261、CVE-2017-11260、CVE-2017-11258、CVE-2017-11259、CVE-2017-11267、CVE-2017-11268、CVE-2017-11269、CVE-2017-11259、CVE-2017-11270、CVE-2017-11261)
- Trend Micro の Zero Day Initiative および Offensive Security の Steven Seeley 氏(mr_me)と Tencent's Xuanwu LAB の Ke Liu 氏による協力(CVE-2017-11212、CVE-2017-11214、CVE-2017-11227)
- Beyond Security の SecuriTeam Secure Disclosure Program および Siberas 氏との協力(CVE-2017-11254)
- Richard Warren 氏(CVE-2017-3118)
- Tencent Security Platform Department の riusksk 氏(CVE-2017-3016)
- Trend Micro の Zero Day Initiative と Sebastian Apelt siberas 氏による協力(CVE-2017-11219、CVE-2017-11256、CVE-2017-11257)
- Trend Micro の Zero Day Initiative と Offensive Security の Steven Seeley 氏(mr_me)による協力(CVE-2017-11209、CVE-2017-11210、CVE-2017-11232、CVE-2017-11255、CVE-2017-3123、CVE-2017-3124)
- Beyond Security’s SecuriTeam Secure Disclosure Program と Steven Seeley 氏による協力(CVE-2017-11220)
- Steven Seeley 氏(CVE-2017-11262)
- Sushan 氏(CVE-2017-11226)
- Toan Pham 氏(CVE-2017-3116)
更新履歴
2017 年 8 月 29 日: ソリューションテーブルが更新され、利用可能な新しいアップデートが反映されています(8 月 29 日現在)。 これらのアップデートは、一部のユーザーに影響を与えた XFA フォーム機能のリグレッションを解決します。 8 月 29 日リリースでは、セキュリティ上の脆弱性も解決します(CVE-2017-11223)。
CVE-2017-11223 は当初、8 月 8 日のアップデート(バージョン 2017.012.20093、2017.011.30059、および 2015.006.30352)で対処されましたが、これらのリリースにおける機能のリグレッションにより、CVE-2017 -11223 の一時的なホットフィックスが提供されました。 8 月 29 日のリリースでは、リグレッションを解決するとともに、CVE-2017-11223 の修正も提供しれます。 詳細については、このブログ記事を参照してください。
