PDFファイルの表示または加工を行うソフトウェアに外部から不正操作や、
情報漏洩に繋がる問題について公開されましたので、
以下のとおり情報展開させていただきます。
-------------------------------------
----
PDFファイルの表示または加工を行うソフトウェアに外部から不正操作や、
情報漏洩に繋がる問題。
攻撃情報が観測されているため、アップデートを推奨。
-------------------------------------
----
Ⅰ. 概要
Adobe社のPDFファイルの表示または加工を行う複数の製品に
セキュリティ上の問題が公表されました。
問題を悪用された場合、外部から不正な操作をされる、
あるいは機密情報が漏洩する恐れがあります。
■対象製品
Acrobat DC Windows版
Acrobat DC macOS版
Acrobat Reader DC Windows版
Acrobat Reader DC macOS版
Acrobat 2020 Classic 2020 Windows版とmacOS版
Acrobat Reader 2020 Classic 2020 Windows版とmacOS版
Acrobat 2017 Classic 2017 Windows版とmacOS版
Acrobat Reader 2017 Classic 2017 Windows版とmacOS版
Ⅱ. 対策・回避策
影響を受ける製品を利用している場合や、利用しているか不明な場合は、
下記の関連情報の内容をシステムを運用されている担当者や委託先事業者の窓口の方に共有していただき、
対策等のご検討をお願いいたします。
------------------------------------
【関連情報】
Adobe社Acrobat、Readerに「Critical」評価を含む複数の脆弱性
「Adobe Acrobat」「Adobe Reader」に複数の脆弱性。
一部の製品への攻撃が確認されているため、早急なアップデートを推奨。
-------------------------------------
----
Ⅰ. 概要
Adobe社より、複数製品のアップデートが公表されました。
任意のコード実行または任意のファイルシステムでの書き込みに繋がる「Critical」評価の脆弱性10件、
権限昇格や情報漏えいに繋がる「Important」評価の脆弱性4件を含む複数の脆弱性が修正されています。
Adobe社は、Windows上のAdobeReaderユーザーを標的とした限定的な攻撃でCVE-2021-28550が
実際に悪用されたという報告を受けています。
影響:外部からの不正な操作により、機密情報が漏洩する等の被害を受ける可能性があります。
■対象製品とバージョン
Acrobat DC Windows版 バージョン2021.001.20150以前
Acrobat DC macOS版 バージョン2021.001.20149以前
Acrobat Reader DC Windows版 バージョン2021.001.20150以前
Acrobat Reader DC macOS版 バージョン2021.001.20149以前
Acrobat 2020 Classic 2020 Windows版とmacOS版 バージョン2020.001.30020以前
Acrobat Reader 2020 Classic 2020 Windows版とmacOS版 バージョン2020.001.30020以前
Acrobat 2017 Classic 2017 Windows版とmacOS版 バージョン2017.011.30194以前
Acrobat Reader 2017 Classic 2017 Windows版とmacOS版 バージョン2017.011.30194以前
■脆弱性概要 ※ベンダー評価 Important以上 を記載。
・CVE-2021-21038(Critical) 範囲外の書き込みの脆弱性
・CVE-2021-21044(Critical) 範囲外の書き込みの脆弱性
・CVE-2021-21086(Critical) 範囲外の書き込みの脆弱性
・CVE-2021-28550(Critical) メモリ解放後再利用(Use After Free)の脆弱性
・CVE-2021-28553(Critical) メモリ解放後再利用(Use After Free)の脆弱性
・CVE-2021-28555(Important) 範囲外の読み取りの脆弱性
・CVE-2021-28557(Critical) 範囲外の読み取りの脆弱性
・CVE-2021-28558(Important) ヒープベースのバッファオーバーフローの脆弱性
・CVE-2021-28559(Important) 個人情報の漏洩につながる特権昇格の脆弱性
・CVE-2021-28560(Critical) ヒープベースのバッファオーバーフローの脆弱性
・CVE-2021-28561(Important) バッファオーバーフローの脆弱性
・CVE-2021-28562(Critical) メモリ解放後再利用(Use After Free)の脆弱性
・CVE-2021-28564(Critical) 範囲外の書き込みの脆弱性
・CVE-2021-28565(Critical) 範囲外の読み取りの脆弱性
※ 対象製品と影響を受ける脆弱性情報の組み合わせは「Ⅲ. 参考情報」をご参照ください。
Ⅱ. 対策・回避策
ベンダが提供する以下の参考情報を確認したうえで、早急に(※)アップデートしてください。
次のいずれかの方法でエンドユーザーがアップデートできます。
・更新が検出されると、ユーザーの介入を必要とせずに、製品が自動的に更新されます。
・更新が自動検出されない場合、ユーザーは、[ヘルプ]> [更新の確認]を選択して、製品を手動で更新できます。
※ Adobe社は今回のアップデートについて、管理者が72時間以内にできるだけ早くアップデートすることを推奨しています。
Ⅲ. 参考情報
① Security update available for Adobe Acrobat and Reader | APSB21-29
https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
② Adobe Security Bulletin
https://helpx.adobe.com/security.html
------------------------------------
Oo。..○o。. .Oo。○Oo。..○o。.Oo。○o。
中国地域サイバーセキュリティ連絡会
事務局 中国総合通信局
サイバーセキュリティ室
〒730-8795 広島市中区東白島町19-36
e-mail : chucyber@soumu.go.jp
Tel : 082-222-3395 Fax :082-502-8152
Oo。..○o。. .Oo。○Oo。..○o。.Oo。○o。
