情報 ID
最終更新日 :
2022年1月14日
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-51
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB21-51 |
2021 年 7 月 13 日 |
2 |
要約
対象のバージョン
|
トラッキング |
対象のバージョン |
プラットフォーム |
Priority rating |
|
|
Acrobat DC |
連続トラック |
2021.005.20054 以前のバージョン |
Windows および macOS |
2 |
|
Acrobat Reader DC |
連続トラック |
2021.005.20054 以前のバージョン |
Windows および macOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2020 |
Classic 2020 |
2020.004.30005 以前のバージョン |
Windows & macOS |
2 |
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30005 以前のバージョン |
Windows & macOS |
2 |
|
|
|
|
|
2 |
|
Acrobat 2017 |
Classic 2017 |
2017.011.30197 以前のバージョン |
Windows & macOS |
2 |
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30197 以前のバージョン |
Windows & macOS |
2 |
解決策
以下の手順に従って、ソフトウェアのインストールを最新バージョンに更新されることをお勧めします。
最新バージョンは、次のいずれかの方法で入手可能です。
「ヘルプ/アップデートを確認」を選択して、製品のインストールを手動で更新することができます。
製品のアップデートが検出されると、ユーザーが操作しなくても製品は自動的にアップデートされます。
Acrobat Reader のフルインストーラーはAcrobat Reader ダウンロードセンターからダウンロードできます。
IT 管理者(管理環境)の場合:
インストーラーへのリンクについては、各リリースノートのバージョンを参照してください。
AIP-GPO、bootstrapper、SCUP/SCCM (Windows 版)、あるいは macOS 版では、Apple Remote Desktop、SSH など、好みの方法でアップデートをインストールします。
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
|
トラッキング |
アップデートバージョン |
プラットフォーム |
優先度評価 |
入手方法 |
|
|
Acrobat DC |
連続トラック |
2021.005.20058 |
Windows および macOS |
2 |
|
|
Acrobat Reader DC |
連続トラック |
2021.005.20058 |
Windows および macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2020 |
Classic 2020 |
2020.004.30006 |
Windows および macOS |
2 |
|
|
Acrobat Reader 2020 |
Classic 2020 |
2020.004.30006 |
Windows および macOS |
2 |
|
|
|
|
|
|
|
|
|
Acrobat 2017 |
Classic 2017 |
2017.011.30199 |
Windows および macOS |
2 |
|
|
Acrobat Reader 2017 |
Classic 2017 |
2017.011.30199 |
Windows および macOS |
2 |
脆弱性に関する詳細
| 脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | CVSS 基本スコア |
CVSS ベクター |
CVE 番号 |
|---|---|---|---|---|---|
領域外メモリー参照 (CWE-125) |
メモリリーク (Memory Leak) | 重要 |
3.3 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2021-35988 CVE-2021-35987 |
パストラバーサル (CWE-22) |
任意のコード実行 |
クリティカル |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-35980 CVE-2021-28644 |
解放済みメモリ使用 (CWE-416) |
任意のコード実行 |
クリティカル |
7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28640 |
型の混同 (Type Confusion) (CWE-843) |
任意のコード実行 |
クリティカル |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28643 |
解放済みメモリ使用 (CWE-416) |
任意のコード実行 |
クリティカル |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28641 CVE-2021-28639 |
領域外メモリーへの書き出し (CWE-787) |
任意のファイルシステム書き込み |
クリティカル |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28642 |
領域外メモリー参照 (CWE-125) |
メモリリーク (Memory Leak) |
クリティカル |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28637 |
型の混同 (Type Confusion) (CWE-843) |
任意のファイルシステム読み取り |
重要 |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
CVE-2021-35986 |
ヒープベースのバッファーオーバーフロー (CWE-122) |
任意のコード実行 |
クリティカル |
8.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-28638 |
NULLポインタ逆参照 (CWE-476) |
アプリケーションのサービス拒否 |
重要 |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-35985 CVE-2021-35984 |
制御されていない検索パスエレメント (CWE-427) |
任意のコード実行 |
クリティカル |
7.3 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | CVE-2021-28636 |
OS コマンドインジェクション (CWE-78) |
任意のコード実行 |
クリティカル |
8.2 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
CVE-2021-28634 |
解放済みメモリ使用 (CWE-416) |
任意のコード実行 |
クリティカル |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2021-35983 CVE-2021-35981 CVE-2021-28635 |
謝辞
一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。
- Trend Micro Zero Day Initiative にご協力いただいた Nipun Gupta氏、Ashfaq Ansari氏、Krishnakant Patil - CloudFuz氏(CVE-2021-35983)
- Trend Micro Zero Day Initiative にご協力いただいた UCAS の Xu Peng 氏、 QiAnXin Technology Research Institute のWang Yanhao 氏(CVE-2021-35981, CVE-2021-28638)
- Habooblabs(CVE-2021-35980、CVE-2021-28644、CVE-2021-35988、CVE-2021-35987、CVE-2021-28642、CVE-2021-28641、CVE-2021-35985、CVE-2021-35984、CVE-2021-28637)
- Trend Micro の Zero Day Initiative と匿名者様による協力(CVE-2021-28643、CVE-2021-35986)
- o0xmuhe 氏(CVE-2021-28640)
- Trend Micro Zero Day Initiative と協力して取り組む Trend Micro Security Research の Kc Udonsi 氏 (@glitchnsec)(CVE-2021-28639)
- Noah 氏(howsubtle)(CVE-2021-28634)
- Xu peng 氏(xupeng_1231)(CVE-2021-28635)
- Xavier Invers Fornells氏(m4gn3t1k)(CVE-2021-28636)
更新履歴
2021 年 7 月 14 日:CVE-2021-28640 の謝辞の詳細を更新。
2021 年 7 月 15 日:CVE-2021-35981 の謝辞の詳細を更新
2021 年 7 月 29 日:CVE-2021-28640、CVE-2021-28637、CVE-2021-28636 の CVSS ベーススコアと CVSS ベクターを更新
2021 年 7 月 29 日:CVE-2021-35988、CVE-2021-35987、CVE-2021-35987、CVE-2021-35987、CVE-2021-28644 の CVSS ベーススコアおよび CVSS ベクターの脆弱性の影響、重大度を更新
For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.
