Windows 版および macOS 版の Adobe Acrobat および Reader を対象としたセキュリティアップデートが公開されました。これらのアップデートは、この脆弱性が悪用されると、現在のユーザーのコンテキストで任意のコード実行の原因になりかねない重大な脆弱性に対処します。
アドビは、CVE-2018-4990 のエクスプロイトが猛威を振るっているという報告があることを承知しています。また、CVE-2018-4993 の概念実証コードが公開されており、利用可能です。
Acrobat DC に関する詳細については、Acrobat DC FAQ ページを参照してください。
Acrobat Reader DC に関する詳細については、Acrobat Reader DC FAQ ページを参照してください。
以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。
- 「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
- 製品のアップデート
が検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。 - Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。
IT 管理者(管理環境)の場合:
- エンタープライズインストーラーは ftp://ftp.adobe.com/pub/adobe/ からダウンロードするか、またはインストーラーにリンクされている特定のリリースノートを参照してください。
- AIP-GPO、bootstrapper、SCUP/SCCM
(Windows 版)、あるいは Macintosh 版の場合であれは Apple Remote Desktop および SSH
など、好みの方法でアップデートをインストールします。
アドビは、これらのアップデートの優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
| 製品名 | アップデートバージョン | プラットフォーム | 優先度評価 | 入手方法 |
|---|---|---|---|---|
| Acrobat DC | 2018.011.20040 |
Windows および macOS | 1 | Windows macOS |
| Acrobat Reader DC | 2018.011.20040 |
Windows および macOS | 1 | Windows macOS |
| Acrobat 2017 | 2017.011.30080 | Windows および macOS | 1 | Windows macOS |
| Acrobat Reader DC 2017 | 2017.011.30080 | Windows および macOS | 1 | Windows macOS |
| Acrobat Reader DC (Classic 2015) | 2015.006.30418 |
Windows および macOS |
1 | Windows macOS |
| Acrobat DC (Classic 2015) | 2015.006.30418 | Windows および macOS | 1 | Windows macOS |
注意:
前回の発表で述べたように、Adobe Acrobat 11.x と Adobe Reader 11.x のサポートは 2017 年 10 月 15 日に終了しました。バージョン 11.0.23 は Adobe Acrobat 11.x および Adobe Reader 11.x の最終リリースです。 アドビでは、Adobe Acrobat Reader DC と Adobe Acrobat DC を最新バージョンに更新することをお客様に強くお勧めします。インストール製品を最新バージョンに更新することで、お客様は最新の機能拡張と改善されたセキュリティ対策のメリットを享受できます。
この問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、
アドビより厚く御礼を申し上げます。
- Cisco Talos の Aleksandar Nikolic 氏(CVE-2018-4996、CVE-2018-4947)
- ESET の Anton Cherepanov 氏、Microsoft の Matt Oh 氏(CVE-2018-4990)
- Kaspersky Lab の Vladislav Stolyarov 氏(CVE-2018-4988、CVE-2018-4987)
- Check Point Software Technologies の Yoav Alon 氏と Netanel Ben-Simon 氏(CVE-2018-4985)
- Palo Alto Networks の Gal De Leon 氏(CVE-2018-4959、CVE-2018-4961)
- Tencent's Xuanwu Lab の Ke Liu 氏(CVE-2018-4960、CVE-2018-4986)。
- Trend Micro の Zero Day Initiative を通じて匿名にて報告(CVE-2018-4950、CVE-2018-4951、CVE-2018-4952、CVE-2018-4953、CVE-2018-4954、CVE-2018-4962、CVE-2018-4974)
- Trend Micro の Zero Day Initiative を通じた Tencent PC マネージャの WillJ 氏(CVE-2018-4948、CVE-2018-4949、CVE-2018-4955、CVE-2018-4971、CVE-2018-4973)
- Trend Micro の Zero Day Initiative を通じた Tencent Security Platform Department の Riusksk 氏(CVE-2018-4956、CVE-2018-4957)
- Trend Micro の Zero Day Initiative を通じた Steven Seeley 氏(CVE-2018-4963、CVE-2018-4964、CVE-2018-4965、CVE-2018-4966、CVE-2018-4968、CVE-2018-4969)
- Trend Micro の Zero Day Initiative を通じた Tencent's Xuanwu LAB の Ke Liu 氏(CVE-2018-4967、CVE-2018-4970、CVE-2018-4972、CVE-2018-4975、CVE-2018-4976、CVE-2018-4978、CVE-2018-4981、CVE-2018-4982)
- Trend Micro の Zero Day Initiative を通じた Sebastian Apelt siberas 氏(CVE-2018-4977)
- Trend Micro の Zero Day Initiative を通じた AbdulAziz Hariri 氏(CVE-2018-4979、CVE-2018-4980、CVE-2018-4984)
- Palo Alto Networks の Hui Gao と Knownsec 404 セキュリティチームの Heige 氏(a.k.a SuperHei)(CVE-2018-4958、CVE-2018-4983)
- Cybellum Technologies LTD (CVE-2018-4989)
- Cure53 の Alex 氏(CVE-2018-4995)
- Check Point Software Technologies の Assaf Baharav 氏、Yaron Fruchtmann 氏 および Ido Solomon 氏(CVE-2018-4993)
2018 年 5 月 15 日: CVE-2018-4990 のエクスプロイトが猛威を振るっていること、CVE-2018-4985 の概念実証コードが公開されており、利用可能であることをユーザーに通知するための言語を追加しました。また、CVE-2018-4994 に代わって CVE-2018-4995 が追加されました。CVE-2018-4994 は Adobe Connect で無関係の脆弱性に既に割り当てられていました。最後に、CVE-2018-4946 に代わって CVE-2018-4996 が追加されました。CVE-2018-4946 は Adobe Photoshop で無関係の脆弱性に既に割り当てられていました。
2018 年 5 月 16 日: CVE-2018-4985 を CVE-2018-4993 に置き換えて要約セクションを修正しました。CVE-2018-4993 用の概念実証コードが公開されています(CVE-2018-4985 ではなく)。
2018 年 5 月 17 日: PDF 文書内のリンクをユーザーが辿ることをブロックする、CVE-2018-4993 向けの追加軽減策が記載されているドキュメンテーションへのリンクを追加しました。