セキュリティ速報
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
リリース日:2011年2月8日
最終更新日:2011年2月22日
脆弱性識別番号:APSB11-03
CVE番号:CVE-2010-4091、CVE-2011-0562、CVE-2011-0563、CVE-2011-0564、CVE-2011-0565、CVE-2011-0566、CVE-2011-0567、CVE-2011-0568、CVE-2011-0570、CVE-2011-0585、CVE-2011-0586、CVE-2011-0587、CVE-2011-0588、CVE-2011-0589、CVE-2011-0590、CVE-2011-0591、CVE-2011-0592、CVE-2011-0593、CVE-2011-0594、CVE-2011-0595、CVE-2011-0596、CVE-2011-0598、CVE-2011-0599、CVE-2011-0600、CVE-2011-0602、CVE-2011-0603、CVE-2011-0604、CVE-2011-0605、CVE-2011-0606
プラットフォーム:全プラットフォーム
概要
Windows版、Macintosh版のAdobe Reader X(10.0)、Windows版、Macintosh版、UNIX版のAdobe Reader 9.4.1およびそれ以前のバージョン、Windows版、Macintosh版のAdobe Acrobat X(10.0)にクリティカルな脆弱性が存在することが確認されています。これらの脆弱性はクラッシュの原因となるおそれがあります。また、場合によっては、この脆弱性が原因で対象システムが攻撃者に制御されるおそれがあります。Adobe Reader Xをご利用のお客様については、この脆弱性が保護モードの移行を迂回するものではないため、リスクはきわめて限定的です。
これらのアップデートには、セキュリティ情報APSB11-02で公開したAdobe Flash Playerのアップデートも組み込まれています。
Windows版、Macintosh版のAdobe Reader X(10.0)とそれ以前のバージョンをご利用のお客様は、Adobe Reader X(10.0.1)へのアップデートを推奨します。UNIX版のAdobe Reader 9.4.1をご利用のお客様には、Adobe Reader 9.4.2へのアップデートを推奨します。Windows版、Macintosh版のAdobe Reader 9.4.1およびそれ以前のバージョンをご利用で、Adobe Reader X(10.0.1)へアップデートできないお客様は、Adobe Reader 9.4.2およびAdobe Reader 8.2.6へのアップデートをご利用ください。Windows版、Macintosh版のAdobe Acrobat X(10.0)をご利用のお客様は、Adobe Acrobat X(10.0.1)へのアップデートを推奨します。Windows版、Macintosh版のAdobe Acrobat 9.4.1およびそれ以前のバージョンをご利用のお客様には、Adobe Acrobat 9.4.2へのアップデートを推奨します。Windows版、Macintosh版のAdobe Acrobat 8.2.5およびそれ以前のバージョンをご利用のお客様には、Adobe Acrobat 8.2.6へのアップデートを推奨します。
Adobe ReaderおよびAcrobatの次回の定期セキュリティアップデートは 2011年6月14日の予定です。
影響を受けるソフトウェアとバージョン
- Windows版、Macintosh版のAdobe Reader X(10.0)
- Windows版、Macintosh版、UNIX版のAdobe Reader 9.4.1およびそれ以前のバージョン
- Windows版、Macintosh版のAdobe Acrobat X(10.0)およびそれ以前のバージョン
解決方法
ユーザーの皆様には、以下の指示に従ってソフトウェアをアップデートされることを推奨します。
Adobe Reader
WindowsおよびMacintoshのユーザーの皆様は、製品の自動アップデート機能を利用してアップデートが可能です。初期設定では一定期間ごとに自動アップデートを実行する設定になっています。ヘルプ/アップデートの有無をチェックを選択して手動でアップデートすることもできます。
Windows版Adobe Reader用のアップデートは、次のURLからでも入手できます。
http://www.adobe.com/jp/support/downloads/acrwin.html
Macintosh版Adobe Reader用のアップデートは、次のURLからでも入手できます。
http://www.adobe.com/jp/support/downloads/acrmac.html
UNIX版Adobe Reader用のアップデートは、次のURLより入手できます。
ftp://ftp.adobe.com/pub/adobe/reader/unix/9.x
Adobe Acrobat
製品の自動アップデート機能を利用してアップデートを行えます。初期設定では一定期間ごとに自動アップデートを実行する設定になっています。ヘルプ/アップデートの有無をチェックを選択して手動でアップデートすることもできます。
Windows版Acrobat StandardおよびPro用のアップデートは、次のURLからでも入手できます。
http://www.adobe.com/jp/support/downloads/acwin.html
Windows版Adobe Pro Extended用のアップデートは、次のURLからでも入手できます。
http://www.adobe.com/jp/support/downloads/acwin.html
Windows版Acrobat 3D用のアップデートは、次のURLからでも入手できます。
http://www.adobe.com/jp/support/downloads/acwin.html
Macintosh版Acrobat Pro用のアップデートは、次のURLからでも入手できます。
http://www.adobe.com/jp/support/downloads/acmac.html
緊急度
アドビはこの案件をクリティカルなアップデートと分類し、対象ユーザーの皆様に該当製品の最新バージョンへのアップデートを推奨します。対象ユーザーの皆様に上記の"解決方法"セクションの指示に従い最新のアップデートを適用されることを推奨します。
詳細
Windows版、Macintosh版のAdobe Reader X(10.0)、Windows版、Macintosh版、UNIX版のAdobe Reader 9.4.1およびそれ以前のバージョン、Windows版、Macintosh版のAdobe Acrobat X(10.0)にクリティカルな脆弱性が存在することが確認されています。これらの脆弱性はクラッシュの原因となるおそれがあります。また、場合によっては、この脆弱性が原因で対象システムが攻撃者に制御されるおそれがあります。Adobe Reader Xをご利用のお客様については、この脆弱性が保護モードの移行を迂回するものではないため、リスクはきわめて限定的です。
Windows版、Macintosh版のAdobe Reader X(10.0)とそれ以前のバージョンをご利用のお客様は、Adobe Reader X(10.0.1)へのアップデートを推奨します。UNIX版のAdobe Reader 9.4.1をご利用のお客様には、Adobe Reader 9.4.2へのアップデートを推奨します。Windows版、Macintosh版のAdobe Reader 9.4.1およびそれ以前のバージョンをご利用で、Adobe Reader X(10.0.1)へアップデートできないお客様は、Adobe Reader 9.4.2およびAdobe Reader 8.2.6へのアップデートをご利用ください。Windows版、Macintosh版のAdobe Acrobat X(10.0)をご利用のお客様は、Adobe Acrobat X(10.0.1)へのアップデートを推奨します。Windows版、Macintosh版のAdobe Acrobat 9.4.1およびそれ以前のバージョンをご利用のお客様には、Adobe Acrobat 9.4.2へのアップデートを推奨します。Windows版、Macintosh版のAdobe Acrobat 8.2.5およびそれ以前のバージョンをご利用のお客様には、Adobe Acrobat 8.2.6へのアップデートを推奨します。
これらのアップデートはコード実行の原因になりかねない、入力検証の脆弱性を解消します(CVE-2010-4091)。
これらのアップデートはコード実行の原因になりかねない、ライブラリ読み込みの脆弱性を解消します(CVE-2011-0562)。
これらのアップデートは、コード実行の原因になりかねないメモリ破損脆弱性を解消します(CVE-2011-0563)。
これらのアップデートは、アクセス権拡大の原因になりかねない、Windows限定のファイルアクセス権の問題を解消します(CVE-2011-0564)。
これらのアップデートは、サービス拒否(DoS)脆弱性を解消します。この脆弱性によって任意のコードが実行されたことは証明されていませんが、可能であるおそれがあります(CVE-2011-0565)。
これらのアップデートは、コード実行の原因になりかねない、画像解析メモリ破損の脆弱性を解消します(CVE-2011-0566)。
これらのアップデートは、コード実行の原因になりかねない、画像解析メモリ破損の脆弱性を解消します(CVE-2011-0567)。
これらのアップデートは、サービス拒否(DoS)脆弱性を解消します。この脆弱性によって任意のコードが実行されたことは証明されていませんが、可能であるおそれがあります(Macintoshのみ)(CVE-2011-0568)。
これらのアップデートは、コード実行の原因になりかねない、ライブラリ読み込みの脆弱性を解消します(CVE-2011-0570)。
これらのアップデートは、サービス拒否(DoS)脆弱性を解消します。この脆弱性によって任意のコードが実行されたことは証明されていませんが、可能であるおそれがあります(CVE-2011-0585)。
これらのアップデートは、コード実行の原因になりかねない、入力検証の脆弱性を解消します(CVE-2011-0586)。
これらのアップデートは、コード実行の原因になりかねない、入力検証の脆弱性を解消します(CVE-2011-0587)。
これらのアップデートは、コード実行の原因になりかねない、ライブラリ読み込みの脆弱性を解消します(CVE-2011-0588)。
これらのアップデートは、コード実行の原因になりかねない、メモリ破損脆弱性を解消します(CVE-2011-0589)。
これらのアップデートは、コード実行の原因になりかねない、3Dファイル解析の入力検証の脆弱性を解消します(CVE-2011-0590)。
これらのアップデートは、コード実行の原因になりかねない、3Dファイル解析の入力検証の脆弱性を解消します(CVE-2011-0591)。
これらのアップデートは、コード実行の原因になりかねない、3Dファイル解析の入力検証の脆弱性を解消します(CVE-2011-0592)。
これらのアップデートは、コード実行の原因になりかねない、3Dファイル解析の入力検証の脆弱性を解消します(CVE-2011-0593)。
これらのアップデートは、コード実行の原因になりかねない、フォント解析の入力検証の脆弱性を解消します(CVE-2011-0594)。
これらのアップデートは、コード実行の原因になりかねない、3Dファイル解析の入力検証の脆弱性を解消します(CVE-2011-0595)。
これらのアップデートは、コード実行の原因になりかねない、画像解析の入力検証の脆弱性を解消します(CVE-2011-0596)。
これらのアップデートは、コード実行の原因になりかねない、画像解析の入力検証の脆弱性を解消します(CVE-2011-0598)。
これらのアップデートは、コード実行の原因になりかねない、画像解析の入力検証の脆弱性を解消します(CVE-2011-0599)。
これらのアップデートは、コード実行の原因になりかねない、3Dファイル解析の入力検証の脆弱性を解消します(CVE-2011-0600)。
これらのアップデートは、コード実行の原因になりかねない、画像解析の入力検証の脆弱性を解消します(CVE-2011-0602)。
これらのアップデートは、コード実行の原因になりかねない、画像解析メモリ破損の脆弱性を解消します(CVE-2011-0603)。
これらのアップデートは、クロスサイトスクリプティングの原因になりかねない、入力検証の脆弱性を解消します(CVE-2011-0604)。
これらのアップデートは、コード実行の原因になりかねないメモリ破損脆弱性を解消します(Macintoshのみ)(CVE-2011-0605)。
これらのアップデートは、コード実行の原因になりかねないメモリ破損脆弱性を解消します(CVE-2011-0606)。
これらのアップデートには、セキュリティ情報APSB11-02で公開したAdobe Flash Playerのアップデートも組み込まれています。
謝辞
一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
更新履歴
2011年2月22日 - UNIX版に関する情報を追加しました。
2011年2月8日 - 初出
