Atualização de segurança disponível para o Adobe Acrobat e Reader | APSB17-24
ID do boletim Data de publicação Prioridade
APSB17-24 8 de agosto de 2017 2

Resumo

A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e Macintosh. Essas atualizações corrigem vulnerabilidades consideradas Críticas e Importantes que poderiam permitir que um invasor assumisse o controle do sistema afetado.

Versões afetadas

Essas atualizações corrigem vulnerabilidades críticas no software. A Adobe receberá a atribuição das seguintes classificações de prioridade para essas atualizações:

Produto Versões afetadas Plataforma
Acrobat DC (Faixa contínua) 2017.009.20058 e versões anteriores
Windows e Macintosh
Acrobat Reader DC (Faixa contínua) 2017.009.20058 e versões anteriores
Windows e Macintosh
     
Acrobat 2017 2017.008.30051 e versões anteriores Windows e Macintosh
Acrobat Reader 2017 2017.008.30051 e versões anteriores Windows e Macintosh
     
Acrobat DC (Faixa clássica) 2015.006.30306 e versões anteriores
Windows e Macintosh
Acrobat Reader DC (Faixa clássica) 2015.006.30306 e versões anteriores
Windows e Macintosh
     
Acrobat XI 11.0.20 e versões anteriores Windows e Macintosh
Reader XI 11.0.20 e versões anteriores Windows e Macintosh

Para obter mais informações sobre o Acrobat DC, acesse a página de Perguntas frequentes do Acrobat DC.

Para obter mais informações sobre o Acrobat Reader DC, acesse a página de Perguntas frequentes do Acrobat Reader DC.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software para as versões mais recentes seguindo as
instruções abaixo.
As versões de produto mais recentes estão disponíveis para os usuários finais através de um dos seguintes métodos:

  • Os usuários podem atualizar suas instalações de produtos manualmente ao selecionar Ajuda > Verificar atualizações.
  • Os produtos serão atualizados automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem
    detectadas.
  • O instalador completo do Acrobat Reader pode ser baixado no Centro de download do Acrobat Reader.

Para administradores de TI (ambientes gerenciados):

  • Baixe os instaladores Enterprise em ftp://ftp.adobe.com/pub/adobe/, ou consulte a versão específica da nota de versão para links para instaladores. 
  • Instale as atualizações por meio da metodologia desejada, tal como AIP-GPO, bootstrapper, SCUP/SCCM
    para o Windows ou, no Macintosh, Apple Remote Desktop e SSH.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Acrobat DC (Faixa contínua) 2017.012.20098
Windows e Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Faixa contínua) 2017.012.20098 Windows e Macintosh 2 Centro de downloads
         
Acrobat 2017 2017.011.30066 Windows e Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows e Macintosh 2 Windows
Macintosh
         
Acrobat DC(Faixa clássica) 2015.006.30355
Windows e Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Faixa clássica) 2015.006.30355 
Windows e Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows e Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows e Macintosh 2 Windows
Macintosh

Observação:

A versão 11.0.22 está disponível para usuários afetados pela regressão funcional em formulários XFA apresentada na versão 11.0.21 (veja aqui para obter mais detalhes).  As versões 11.0.22 e 11.0.21 resolvem todas as vulnerabilidades de segurança mencionadas neste boletim.    

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Números CVE
Memória corrompida Execução de código remota Crítico CVE-2017-3016
Memória corrompida Execução de código remota Crítico CVE-2017-3038
Uso após período gratuito Execução de código remota Crítico CVE-2017-3113
Verificação da autenticidade dos dados insuficiente Divulgação de informações Importante CVE-2017-3115
Memória corrompida Execução de código remota Crítico CVE-2017-3116
Heap Overflow Execução de código remota Crítico CVE-2017-3117
Bypass de segurança Divulgação de informações Importante CVE-2017-3118
Memória corrompida Execução de código remota Importante CVE-2017-3119
Uso após período gratuito Execução de código remota Crítico CVE-2017-3120
Heap Overflow Execução de código remota Crítico CVE-2017-3121
Memória corrompida Divulgação de informações Importante CVE-2017-3122
Memória corrompida Execução de código remota Crítico CVE-2017-3123
Memória corrompida Execução de código remota Crítico CVE-2017-3124
Memória corrompida Divulgação de informações Importante CVE-2017-11209
Memória corrompida Divulgação de informações Importante CVE-2017-11210
Heap Overflow Execução de código remota Crítico CVE-2017-11211
Memória corrompida Execução de código remota Crítico CVE-2017-11212
Memória corrompida Execução de código remota Crítico CVE-2017-11214
Memória corrompida Execução de código remota Crítico CVE-2017-11216
Memória corrompida Divulgação de informações Importante CVE-2017-11217
Uso após período gratuito Execução de código remota Crítico CVE-2017-11218
Uso após período gratuito Execução de código remota Crítico CVE-2017-11219
Heap Overflow Execução de código remota Crítico CVE-2017-11220
Confusão do tipo Execução de código remota Crítico CVE-2017-11221
Memória corrompida Execução de código remota Crítico CVE-2017-11222
Uso após período gratuito Execução de código remota Crítico CVE-2017-11223
Uso após período gratuito Execução de código remota Crítico CVE-2017-11224
Memória corrompida Execução de código remota Crítico CVE-2017-11226
Memória corrompida Execução de código remota Crítico CVE-2017-11227
Memória corrompida Execução de código remota Crítico CVE-2017-11228
Bypass de segurança Execução de código remota Importante CVE-2017-11229
Memória corrompida Divulgação de informações Importante CVE-2017-11230
Uso após período gratuito Execução de código remota Crítico CVE-2017-11231
Uso após período gratuito Divulgação de informações Importante CVE-2017-11232
Memória corrompida Divulgação de informações Importante CVE-2017-11233
Memória corrompida Execução de código remota Crítico CVE-2017-11234
Uso após período gratuito Execução de código remota Crítico CVE-2017-11235
Memória corrompida Divulgação de informações Importante CVE-2017-11236
Memória corrompida Execução de código remota Crítico CVE-2017-11237
Memória corrompida Divulgação de informações Crítico CVE-2017-11238
Memória corrompida Divulgação de informações Crítico CVE-2017-11239
Heap Overflow Execução de código remota Crítico CVE-2017-11241
Memória corrompida Divulgação de informações Importante CVE-2017-11242
Memória corrompida Divulgação de informações Importante CVE-2017-11243
Memória corrompida Divulgação de informações Importante CVE-2017-11244
Memória corrompida Divulgação de informações Importante CVE-2017-11245
Memória corrompida Divulgação de informações Importante CVE-2017-11246
Memória corrompida Divulgação de informações Importante CVE-2017-11248
Memória corrompida Divulgação de informações Importante CVE-2017-11249
Memória corrompida Execução de código remota Crítico CVE-2017-11251
Memória corrompida Divulgação de informações Crítico CVE-2017-11252
Uso após período gratuito Execução de código remota Importante CVE-2017-11254
Memória corrompida Divulgação de informações Importante CVE-2017-11255
Uso após período gratuito Execução de código remota Crítico CVE-2017-11256
Confusão do tipo Execução de código remota Crítico CVE-2017-11257
Memória corrompida Divulgação de informações Importante CVE-2017-11258
Memória corrompida Execução de código remota Crítico CVE-2017-11259
Memória corrompida Execução de código remota Crítico CVE-2017-11260
Memória corrompida Execução de código remota Crítico CVE-2017-11261
Memória corrompida Execução de código remota Crítico CVE-2017-11262
Memória corrompida Execução de código remota Importante CVE-2017-11263
Memória corrompida Divulgação de informações Importante CVE-2017-11265
Memória corrompida Execução de código remota Crítico CVE-2017-11267
Memória corrompida Execução de código remota Crítico CVE-2017-11268
Memória corrompida Execução de código remota Crítico CVE-2017-11269
Memória corrompida Execução de código remota Crítico CVE-2017-11270
Memória corrompida Execução de código remota Crítico CVE-2017-11271

Observação:

O CVE-2017-3038 foi resolvido nas versões 2017.009.20044 e 2015.006.30306 (lançamento em abril de 2017), mas a correção foi incompleta para a versão 11.0.20. Essa vulnerabilidade agora foi resolvida completamente na versão 11.0.21 (lançamento em agosto de 2017).  

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar os
problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:

  • @vftable, que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic da Cisco Talos (CVE-2017-11263)
  • Alex Infuhr da Cure 53 (CVE-2017-11229)
  • Ashfaq Ansari do projeto Srishti (CVE-2017-11221)
  • Ashfaq Ansari do projeto Srishti que trabalha juntamente com o Programa de Contribuição de Vulnerabilidades da iDefense (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Reportado anonimamente pela Zero Day Initiative da Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernando Munoz que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3115)
  • Giwan Go da STEALIEN & HIT que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-11228, CVE-2017-11230)
  • Heige (também conhecido por SuperHei) (CVE-2017-11222)
  • Jaanus Kp Clarified Security que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kp Clarified Security que trabalha com a Zero Day Initiative da Trend Micro e Ashfaq Ansari - projeto Srishti que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-11231)
  • Jihui Lu do Tencent KeenLab (CVE-2017-3119)
  • kdot que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Ke Liu do Tencent's Xuanwu LAB que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Ke Liu do Tencent's Xuanwu LAB que trabalha com a Zero Day Initiative da Trend Micro e Steven Seeley (mr_me) da Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • A Siberas está trabalhando com o Programa de divulgação segura SecuriTeam da Beyond Security (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk do departamento da plataforma de segurança Tencent (CVE -2017-3016)
  • Sebastian Apelt que trabalha com Zero Day Initiative Trend Micro (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Steven Seeley (mr_me) da Offensive Security que trabalha com a Zero Day Initiative da Trend Micro (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Steven Seeley que trabalha com o Programa de Divulgação de Segurança SecuriTeam da Beyond Security (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226)
  • Toan Pham (CVE-2017-3116)

Revisões

29 de agosto de 2017: a tabela de solução foi atualizada para refletir as novas atualizações disponíveis a partir do dia 29 de agosto.  Essas atualizações resolvem uma regressão funcional com a funcionalidade dos formulários XFA que afetou alguns usuários.  As versões do dia 29 de agosto também resolvem a vulnerabilidade de segurança CVE-2017-11223.  

A CVE-2017-11223 foi corrigida originalmente nas atualizações de 8 de agosto (versões 2017.012.20093, 2017.011.30059 e 2015.006.30352), mas, devido a uma regressão funcional nessas versões, correções temporárias foram oferecidas que revertiam a correção de CVE-2017-11223. As versões de 29 de agosto resolvem a regressão e fornece uma correção para CVE-2017-11223. Veja esta postagem no blog para obter mais detalhes.