Sicherheits-Updates für Adobe Acrobat und Reader verfügbar | APSB18-09
Bulletin-ID Veröffentlichungsdatum Priorität
APSB18-09 14. Mai 2018 1

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, deren erfolgreiche Nutzung zur Ausführung von schädlichem Code im Kontext des aktuellen Benutzers führen kann.

Adobe ist ein Bericht bekannt, aus dem hervorgeht, dass ein Exploit-Code zu CVE-2018-4990 im Umlauf ist. Zusätzlich wurde Proof of Concept-Code für CVE-2018-4993 veröffentlicht und ist öffentlich zugänglich.  

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Adobe Acrobat DC  Verbraucher 2018.011.20038 und frühere Versionen 
Windows und macOS
Acrobat Reader DC  Verbraucher 2018.011.20038 und frühere Versionen 
Windows und macOS
       
Acrobat 2017 Classic 2017 2017.011.30079 und frühere Versionen Windows und macOS
Acrobat Reader 2017 Classic 2017 2017.011.30079 und frühere Versionen Windows und macOS
       
Adobe Acrobat DC  Classic 2015 2015.006.30417 und frühere Versionen
Windows und macOS
Acrobat Reader DC  Classic 2015 2015.006.30417 und frühere Versionen
Windows und macOS

Weitere Informationen zu Acrobat DC finden Sie auf der Seite Adobe Acrobat DC – Häufig gestellte Fragen.

Weitere Informationen zu Acrobat Reader DC finden Sie auf der Seite Adobe Acrobat Reader DC – Häufig gestellte Fragen.

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM
    (Windows) oder auf dem Macintosh, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Adobe Acrobat DC 2018.011.20040
Windows und macOS 1 Windows
macOS
Acrobat Reader DC 2018.011.20040
Windows und macOS 1 Windows
macOS
         
Acrobat 2017 2017.011.30080 Windows und macOS 1 Windows
macOS
Acrobat Reader DC 2017 2017.011.30080 Windows und macOS 1 Windows
macOS
         
Acrobat Reader DC (Classic 2015) 2015.006.30418
Windows und macOS
1 Windows
macOS
Acrobat DC (Classic 2015) 2015.006.30418 Windows und macOS 1 Windows
macOS

Hinweis:

Wie in dieser vorherigen Ankündigung angemerkt, endete der Support für Adobe Acrobat 11.x und Adobe Reader 11.x am 15. Oktober 2017.  Version 11.0.23 ist die letzte Version für Adobe Acrobat 11.x und Adobe Reader 11.x. Adobe empfiehlt dringend, dass Sie ein Update auf die neueste Version von Adobe Acrobat DC und Adobe Acrobat Reader DC vornehmen. Durch das Aktualisieren von Installationen auf die neueste Version profitieren Sie von den aktuellen Funktionsverbesserungen und verbesserten Sicherheitsmaßnahmen.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Double Free
Willkürliche Ausführung von Code Kritisch CVE-2018-4990
Heap-Überlauf
Willkürliche Ausführung von Code
Kritisch

CVE-2018-4947, CVE-2018-4948, CVE-2018-4966, CVE-2018-4968, CVE-2018-4978, CVE-2018-4982, CVE-2018-4984

Freier Gebrauch 
Willkürliche Ausführung von Code
Kritisch CVE-2018-4996, CVE-2018-4952, CVE-2018-4954, CVE-2018-4958, CVE-2018-4959, CVE-2018-4961, CVE-2018-4971, CVE-2018-4974, CVE-2018-4977, CVE-2018-4980, CVE-2018-4983, CVE-2018-4988, CVE-2018-4989 
Schreibvorgang außerhalb des gültigen Bereichs 
Willkürliche Ausführung von Code
Kritisch CVE-2018-4950 
Sicherheitsbypass Offenlegung von Informationen Wichtig CVE-2018-4979
Lesevorgang außerhalb des gültigen Bereichs Offenlegung von Informationen Wichtig CVE-2018-4949, CVE-2018-4951, CVE-2018-4955, CVE-2018-4956, CVE-2018-4957, CVE-2018-4960, CVE-2018-4962, CVE-2018-4963, CVE-2018-4964, CVE-2018-4967, CVE-2018-4969, CVE-2018-4970, CVE-2018-4972, CVE-2018-4973, CVE-2018-4975, CVE-2018-4976, CVE-2018-4981, CVE-2018-4986, CVE-2018-4985
Typverwechslung Willkürliche Ausführung von Code Kritisch CVE-2018-4953
Nicht vertrauenswürdige Zeiger-Dereferenzierung  Willkürliche Ausführung von Code Kritisch CVE-2018-4987
Speicherbeschädigung Offenlegung von Informationen Wichtig CVE-2018-4965
NTLM-SSO-Hash-Diebstahl Offenlegung von Informationen Wichtig CVE-2018-4993
Injizierung neuer Zeilen per HTTP POST über XFA-Übermittlung Sicherheitsbypass Wichtig CVE-2018-4995

Hinweis:

In diesem KB-Artikel erhalten Sie weitere Informationen zum Abschwächen von CVE-2018-4993. Für Administratoren ist eine zusätzliche Abschwächung für CVE-2018-4993 verfügbar, durch die PDF-Aktionen zum Öffnen von Links blockiert werden, einschließlich GoToE-, GoToR-, Start- und Thread-Aktionen sowie Aktionen zum Importieren von Daten, Exportieren von Formulardaten, Absenden und Zurücksetzen von Formularen. Weitere Informationen finden Sie in dieser Dokumentation.

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser
Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Aleksandar Nikolic von Cisco Talos (CVE-2018-4996, CVE-2018-4947)
  • Anton Cherepanov, ESET und Matt Oh, Microsoft (CVE-2018-4990)
  • Vladislav Stolyarov von Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
  • Yoav Alon und Netanel Ben-Simon von Check Point Software Technologies (CVE-2018-4985)
  • Gal De Leon von Palo Alto Networks (CVE-2018-4959, CVE-2018-4961)
  • Ke Liu von Tencent's Xuanwu Lab (CVE-2018-4960, CVE-2018-4986)
  • Anonym gemeldet im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
  • WillJ von Tencent PC Manager im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
  • Riusksk vom Tencent Security Platform Department im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-4956, CVE-2018-4957)
  • Steven Seeley im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
  • Ke Liu von Tencent's Xuanwu LAB in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
  • Sebastian Apelt von siberas im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-4977)
  • AbdulAziz Hariri im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
  • Hui Gao von Palo Alto Networks und Heige (a.k.a. SuperHei) vom Knownsec 404 Security Team (CVE-2018-4958, CVE-2018-4983)
  • Cybellum Technologies LTD (CVE-2018-4989)
  • Alex von Cure53 (CVE-2018-4995)
  • Assaf Baharav, Yaron Fruchtmann und Ido Solomon von Check Point Software Technologies (CVE-2018-4993)

Überarbeitungen

15. Mai 2018: Text wurde hinzugefügt, um Benutzer darauf hinzuweisen, dass Exploit-Code für CVE-2018-4990 im Internet vorhanden ist sowie Proof of Concept-Code für CVE-2018-4985 veröffentlicht wurde und öffentlich verfügbar ist. Außerdem wurde CVE-2018-4994 durch CVE-2018-4995 ersetzt (war bereits einer anderen Sicherheitslücke in Adobe Connect zugewiesen). Zuletzt wurde CVE-2018-4946 durch CVE-2018-4996 ersetzt (war bereits einer anderen Sicherheitslücke in Adobe Photoshop zugewiesen).

16. Mai 2018: Korrektur des Zusammenfassungsabschnitts durch Ersetzen von CVE-2018-4985 mit CVE-2018-4993. Für CVE-2018-4993 und nicht für CVE-2018-4985 ist Proof of Concept-Code öffentlich verfügbar. 

17. Mai 2018: Link zu Dokumentation hinzugefügt, um eine zusätzliche Abschwächung für CVE-2018-4993 zu beschreiben, mit der Benutzer daran gehindert werden, Links in PDF-Dokumenten zu folgen.