Adobe-Sicherheitsbulletin
Sicherheits-Updates für Adobe Acrobat und Reader verfügbar | APSB18-02
Bulletin-ID Veröffentlichungsdatum Priorität
APSB18-02 13. Februar 2018 2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und Macintosh veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. 

Betroffene Versionen

Produkt Betroffene Versionen Plattform
Acrobat DC (Continuous Track) 2018.009.20050 und frühere Versionen 
Windows und Macintosh
Acrobat Reader DC (Continuous Track) 2018.009.20050 und frühere Versionen 
Windows und Macintosh
     
Acrobat 2017 2017.011.30070 und frühere Versionen Windows und Macintosh
Acrobat Reader 2017 2017.011.30070 und frühere Versionen Windows und Macintosh
     
Acrobat DC (Classic Track) 2015.006.30394 und frühere Versionen
Windows und Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30394 und frühere Versionen
Windows und Macintosh

Weitere Informationen zu Acrobat DC finden Sie auf der Seite Adobe Acrobat DC – Häufig gestellte Fragen.

Weitere Informationen zu Acrobat Reader DC finden Sie auf der Seite Adobe Acrobat Reader DC – Häufig gestellte Fragen.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM
    (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC (Continuous Track) 2018.011.20035
Windows und Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2018.011.20035
Windows und Macintosh 2 Download-Center
         
Acrobat 2017 2017.011.30078 Windows und Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30078 Windows und Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30413
Windows 
2 Windows 
Acrobat DC (Classic Track) 2015.006.30416 Macintosh 2 Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30413
Windows  2 Download-Center
Acrobat Reader DC (Classic Track) 2015.006.30416 Macintosh 2 Download-Center

Hinweis:

Wie in dieser vorherigen Ankündigung angemerkt, endete der Support für Adobe Acrobat 11.x und Adobe Reader 11.x am 15. Oktober 2017.  Version 11.0.23 ist die letzte Version für Adobe Acrobat 11.x und Adobe Reader 11.x. Adobe empfiehlt dringend, dass Sie ein Update auf die neueste Version von Adobe Acrobat DC und Adobe Acrobat Reader DC vornehmen. Durch das Aktualisieren von Installationen auf die neueste Version profitieren Sie von den aktuellen Funktionsverbesserungen und verbesserten Sicherheitsmaßnahmen.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Umgehung der Sicherheitsschwachstellen
Berechtigungsausweitung
Kritisch CVE-2018-4872
Heap-Überlauf
Willkürliche Ausführung von Code
Kritisch

CVE-2018-4890, CVE-2018-4904, CVE-2018-4910, CVE-2018-4917 

Freier Gebrauch 
Willkürliche Ausführung von Code
Kritisch CVE-2018-4888, CVE-2018-4892, CVE-2018-4902, CVE-2018-4911, CVE-2018-4913 
Schreibvorgang außerhalb des gültigen Bereichs 
Willkürliche Ausführung von Code
Kritisch CVE-2018-4879, CVE-2018-4895, CVE-2018-4898, CVE-2018-4901, CVE-2018-4915, CVE-2018-4916, CVE-2018-4918 
Lesevorgang außerhalb des gültigen Bereichs
Ausführung von externem Code Wichtig CVE-2018-4880, CVE-2018-4881, CVE-2018-4882, CVE-2018-4883, CVE-2018-4884, CVE-2018-4885, CVE-2018-4886, CVE-2018-4887, CVE-2018-4889, CVE-2018-4891, CVE-2018-4893, CVE-2018-4894, CVE-2018-4896, CVE-2018-4897, CVE-2018-4899, CVE-2018-4900, CVE-2018-4903, CVE-2018-4905, CVE-2018-4906, CVE-2018-4907, CVE-2018-4908, CVE-2018-4909, CVE-2018-4912, CVE-2018-4914 

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser
Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Aleksandar Nikolic von Cisco Talos (CVE-2018-4901) 
  • Anonym gemeldet im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-4915, CVE-2018-4913, CVE-2018-4911, CVE-2018-4910) 
  • Gal De Leon (CVE-2018-4900) 
  • Jaanus Kp von Clarified Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4892, CVE-2018-4882) 
  • Ke Liu vom Xuanwu LAB von Tencent in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4905, CVE-2018-4904, CVE-2018-4891, CVE-2018-4890, CVE-2018-4889, CVE-2018-4887, CVE-2018-4886, CVE-2018-4885, CVE-2018-4883, CVE-2018-4884) 
  • Ke Liu vom Xuanwu LAB von Tencent in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und willJ von Tencent PC Manager in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4903) 
  • Ke Liu vom Xuanwu Lab von Tencent (CVE-2018-4906, CVE-2018-4917, CVE-2018-4918) 
  • Lin Wang von der Beihang University (CVE-2018-4879, CVE-2018-4899, CVE-2018-4896, CVE-2018-4895, CVE-2018-4893) 
  • Lin Wang von der Beihang University und willJ von Tencent PC Manager in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4898) 
  • Lin Wang von der Beihang University und Steven Seeley von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4894) 
  • riusksk vom Tencent Security Platform Department in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4916, CVE-2018-4881, CVE-2018-4880) 
  • riusksk vom Tencent Security Platform Department (CVE-2018-4908) 
  • Sebastian Apelt von siberas in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4888) 
  • willJ von Tencent PC Manager (CVE-2018-4897, CVE-2018-4907) 
  • willJ von Tencent PC Manager in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4914, CVE-2018-4912, CVE-2018-4909) 
  • XuPeng und HuangZheng vom Baidu Security Lab (CVE-2018-4902) 

Überarbeitungen

14. Februar 2018: Tabelle mit Danksagungen wurde aktualisiert.