Adobe-Sicherheitsbulletin für Adobe Acrobat und Reader | APSB18-30
Bulletin-ID Veröffentlichungsdatum Priorität
APSB18-30 1. Oktober 2018 2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken.  Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform Priorität
Acrobat DC  Fortlaufend
2018.011.20063 und frühere Versionen 
Windows und macOS 2
Acrobat Reader DC Fortlaufend
2018.011.20063 und frühere Versionen 
Windows und macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 und frühere Versionen Windows und macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 und frühere Versionen Windows und macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 und frühere Versionen
Windows und macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 und frühere Versionen
Windows und macOS 2

Wechseln Sie bei Fragen in Bezug auf Acrobat DC zur Seite Adobe Acrobat DC – Häufig gestellte Fragen

Wechseln Sie bei Fragen in Bezug auf Acrobat Reader DC zur Seite Acrobat Reader DC– Häufig gestellte Fragen.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf macOS, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein:

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Fortlaufend 2019.008.20071
Windows und macOS 2
Windows
macOS
Acrobat Reader DC Fortlaufend 2019.008.20071
Windows und macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows und macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows und macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows und macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows und macOS 2
Windows
macOS

Hinweis:

Wie in dieser vorherigen Ankündigung angemerkt, endete der Support für Adobe Acrobat 11.x und Adobe Reader 11.x am 15. Oktober 2017.  Version 11.0.23 ist die letzte Version für Adobe Acrobat 11.x und Adobe Reader 11.x. Adobe empfiehlt dringend, dass Sie ein Update auf die neueste Version von Adobe Acrobat DC und Adobe Acrobat Reader DC vornehmen. Durch das Aktualisieren von Installationen auf die neueste Version profitieren Sie von den aktuellen Funktionsverbesserungen und verbesserten Sicherheitsmaßnahmen.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Schreibvorgang außerhalb des gültigen Bereichs 
Willkürliche Ausführung von Code
Kritisch

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

Lesevorgang außerhalb des gültigen Bereichs Offenlegung von Informationen Wichtig

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

Heap-Überlauf

Willkürliche Ausführung von Code

Kritisch

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

Use After Free

Willkürliche Ausführung von Code

Kritisch

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

Typverwechslung

Willkürliche Ausführung von Code

Kritisch

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

Stapelüberlauf

Offenlegung von Informationen

Wichtig

CVE-2018-12838

Double Free

Willkürliche Ausführung von Code

Kritisch

 

CVE-2018-12841

Ganzzahlüberlauf

Offenlegung von Informationen

Wichtig

CVE-2018-12881,

CVE-2018-12842

Pufferfehler

Willkürliche Ausführung von Code

Kritisch

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

Nicht vertrauenswürdige Zeiger-Dereferenzierung

Willkürliche Ausführung von Code

Kritisch

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

Sicherheitsbypass

Berechtigungsausweitung

Kritisch

CVE-2018-15966

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Anonymus über die Zero Day Initiative von Trend Micro (CVE-2018-12851)
  • Zhiyuan Wang vom Chengdu Security Response Center von Qihoo 360 Technology Co. Ltd. (CVE-2018-12841, CVE-2018-12838, CVE-2018-12833)
  • willJ in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-12856, CVE-2018-12855)
  • Sebastian Apelt von Siberas in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-12858)
  • Lin Wang von der Beihang University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-12876, CVE-2018-12868)
  • Esteban Ruiz (mr_me) von Source Incite in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-12879, CVE-2018-12877)
  • Kamlapati Choubey über die Zero Day Initiative von Trend Micro (CVE-2018-15948, CVE-2018-15946, CVE-2018-12842)
  • Ron Waisberg über die Zero Day Initiative von Trend Micro (CVE-2018-15950, CVE-2018-15949, CVE-2018-15947)
  • Aleksandar Nikolic von Cisco Talos.(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • Lin Wang von der Beihang University (CVE-2018-15951, CVE-2018-12881, CVE-2018-12880, CVE-2018-12845, CVE-2018-12844, CVE-2018-12843, CVE-2018-12759)
  • Gal De Leon von Palo Alto Networks (CVE-2018-15920, CVE-2018-12846, CVE-2018-12836, CVE-2018-12832, CVE-2018-12769, CVE-2018-15921)
  • Zhenjie Jia von Qihoo 360 Vulcan Team (CVE-2018-12831)
  • Hui Gao von Palo Alto Networks and Heige (a.k.a. SuperHei) vom Knownsec 404 Security Team (CVE-2018-15925, CVE-2018-15924, CVE-2018-15968)
  • Bo Qu und Zhibin Zhang von Palo Alto Networks (CVE-2018-15923, CVE-2018-15922)
  • Qi Deng von Palo Alto Networks and Heige (a.k.a. SuperHei) vom Knownsec 404 Security Team (CVE-2018-15977)
  • Esteban Ruiz (mr_me) von Source Incite in Zusammenarbeit mit iDefense Labs (CVE-2018-12835)
  • Ashfaq Ansari – Project Srishti in Zusammenarbeit mit iDefense Labs (CVE-2018-15968)
  • Netanel Ben-Simon und Yoav Alon von Check Point Software Technologies (CVE-2018-15956, CVE-2018-15955, CVE-2018-15954,CVE-2018-15953, CVE-2018-15952, CVE-2018-15938, CVE-2018-15937, CVE-2018-15936, CVE-2018-15935, CVE-2018-15934, CVE-2018-15933, CVE-2018-15932 , CVE-2018-15931, CVE-2018-15930 , CVE-2018-15929, CVE-2018-15928, CVE-2018-15927, CVE-2018-12875, CVE-2018-12874 , CVE-2018-12873, CVE-2018-12872,CVE-2018-12871, CVE-2018-12870, CVE-2018-12869, CVE-2018-12867 , CVE-2018-12866, CVE-2018-12865 , CVE-2018-12864 , CVE-2018-12863, CVE-2018-12862, CVE-2018-12861, CVE-2018-12860, CVE-2018-12859, CVE-2018-12857, CVE-2018-12839)
  • Ke Liu von Tencent Security Xuanwu Lab (CVE-2018-15945, CVE-2018-15944, CVE-2018-15943, CVE-2018-15942, CVE-2018-15941, CVE-2018-15940, CVE-2018-15939, CVE-2018-15926, CVE-2018-12878, CVE-2018-12837, CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • Wei Wei (@Danny__Wei) von Tencent Xuanwu Lab (CVE-2018-15966)