JPCERT コーディネーションセンター

Adobe Reader および Acrobat の脆弱性 (APSB17-24) に関する注意喚起

各位

JPCERT-AT-2017-0031
JPCERT/CC
2017-08-09(新規)
2017-08-30(更新)

JPCERT/CC Alert 2017-08-09


Adobe Reader および Acrobat の脆弱性 (APSB17-24) に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170031.html


I. 概要PDF ファイル閲覧ソフトウエア Adobe Reader および PDF ファイル作成・変換ソフトウエア Adobe Acrobat には複数の脆弱性があります。脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって AdobeReader や Acrobat が不正終了したり、任意のコードが実行されたりする恐れがあります。脆弱性の詳細については、アドビの情報を確認してください。

Security Update Available for Adobe Acrobat and Reader | APSB17-24
https://helpx.adobe.com/security/products/acrobat/apsb17-24.html

** 更新: 2017年 8月30日追記*******************************************アドビによると、本アップデートにより、XFA フォーム機能のリグレッションが発生し、一部の顧客に影響が生じていたとのことです。このリグレッションについては、個別にホットフィックスが影響を受けた顧客に提供されていますが、これにより本アップデートで修正されていた CVE-2017-11223 (深刻度「Critical」) の脆弱性が復元されるとのことです。8月29日に XFA フォーム機能のリグレッションおよび CVE-2017-11223 の脆弱性を修正したアップデートが配信されています。対象のホットフィックスを適用している場合には、早期の適用をご検討ください。

詳細は、次の URL を参照してください。

Update to Security Bulletin (APSB17-24)
https://blogs.adobe.com/psirt/?p=1484

なお、アドビによると、CVE-2017-11223 及び 8月8日のアップデートで修正された脆弱性に関する悪用は確認されていないとのことです。
**************************************************


II. 対象対象となる Windows 版の製品とバージョンは以下の通りです。

- Adobe Acrobat Reader DC Continuous (2017.009.20058) およびそれ以前
- Adobe Acrobat Reader DC Classic (2015.006.30306) およびそれ以前
- Adobe Acrobat DC Continuous (2017.009.20058) およびそれ以前
- Adobe Acrobat DC Classic (2015.006.30306) およびそれ以前
- Adobe Acrobat Reader 2017 (2017.008.30051) およびそれ以前
- Adobe Acrobat 2017 (2017.008.30051) およびそれ以前
- Adobe Acrobat XI (11.0.20) およびそれ以前
- Adobe Reader XI (11.0.20) およびそれ以前


III. 対策Adobe Reader および Acrobat を以下の最新のバージョンに更新してください。

** 更新: 2017年 8月30日修正*******************************************
- Adobe Acrobat Reader DC Continuous (2017.012.20098)
- Adobe Acrobat Reader DC Classic (2015.006.30355)
- Adobe Acrobat DC Continuous (2017.012.20098)
- Adobe Acrobat DC Classic (2015.006.30355)
- Adobe Acrobat Reader 2017 (2017.011.30066)
- Adobe Acrobat 2017 (2017.011.30066)
- Adobe Acrobat XI (11.0.21)
- Adobe Reader XI (11.0.21)

なお、リグレッションを受けて提供されている Adobe Acrobat XI (11.0.22)、Adobe Reader XI (11.0.22) については CVE-2017-11223 を含む、APSB17-24にて公開された脆弱性について修正が施されているとのことです。
**************************************************

更新は、Adobe Reader および Acrobat の起動後、メニューより "ヘルプ (H)"の次に "アップデートの有無をチェック (U)" をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下の URL から 最新の AdobeReader および Acrobat をダウンロードしてください。詳細は、アドビの情報をご確認ください。

Adobe.com - New downloads
https://supportdownloads.adobe.com/new.jsp


IV. 参考情報
アドビシステムズ株式会社
Security Update Available for Adobe Acrobat and Reader | APSB17-24
https://helpx.adobe.com/security/products/acrobat/apsb17-24.html

アドビシステムズ株式会社
Security Bulletins Posted
https://blogs.adobe.com/psirt/?p=1480

** 更新: 2017年 8月30日追記*******************************************
アドビシステムズ株式会社
Update to Security Bulletin (APSB17-24)
https://blogs.adobe.com/psirt/?p=1484
**************************************************


今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2017-08-09 初版
2017-08-30 「I. 概要」、「III. 対策」および「IV. 参考情報」の追記・修正

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter