Adobe-Sicherheitsbulletin für Adobe Acrobat und Reader | APSB18-41
Bulletin-ID Veröffentlichungsdatum Priorität
APSB18-41 11. Dezember 2018 2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Acrobat und Reader für Windows und MacOS veröffentlicht. Diese Updates beheben kritische und wichtige Sicherheitslücken. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.   

Betroffene Versionen

Produkt Überwachen Betroffene Versionen Plattform
Acrobat DC  Fortlaufend
2019.008.20081 und frühere Versionen 
Windows 
Acrobat DC  Fortlaufend 2019.008.20080 und frühere Versionen macOS
Acrobat Reader DC Fortlaufend
2019.008.20081 und frühere Versionen Windows
Acrobat Reader DC Fortlaufend 2019.008.20080 und frühere Versionen macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 und frühere Version Windows
Acrobat 2017 Classic 2017 2017.011.30105 und frühere Version macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 und frühere Version Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 und frühere Version macOS
       
Acrobat DC  Classic 2015 2015.006.30457 und frühere Versionen  Windows
Acrobat DC  Classic 2015 2015.006.30456 und frühere Versionen  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 und frühere Versionen  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 und frühere Versionen  macOS

Lösung

Adobe empfiehlt Benutzern, ihre Softwareinstallationen auf die neueste Version zu aktualisieren. Die Vorgehensweise dafür ist nachfolgend beschrieben.
Endbenutzer erhalten die neuesten Produktversionen über eine der folgenden Methoden:

  • Benutzer können die Produktinstallation über „Hilfe“ > „Nach Updates suchen“ manuell aktualisieren.
  • Die Produkte werden ohne weiteren Benutzereingriff automatisch aktualisiert, sobald Aktualisierungen erkannt werden.
  • Das vollständige Acrobat Reader-Installationsprogramm kann im Acrobat Reader Download Center heruntergeladen werden.

Für IT-Administratoren (verwaltete Umgebungen):

  • Laden Sie die Enterprise-Installationsprogramme von ftp://ftp.adobe.com/pub/adobe/ herunter oder lesen Sie die spezielle Version der Versionshinweise, um Links zu Installationsprogrammen abzurufen.
  • Installieren Sie Updates mithilfe Ihrer bevorzugten Methode, zum Beispiel AIP-GPO, Bootstrapper, SCUP/SCCM (Windows) oder auf macOS, Apple Remote Desktop und SSH.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein:

Produkt Überwachen Aktualisierte Versionen Plattform Priorität Verfügbarkeit
Acrobat DC Fortlaufend 2019.010.20064 Windows und macOS 2 Windows

macOS
Acrobat Reader DC Fortlaufend 2019.010.20064
Windows und macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows und macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows und macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows und macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows und macOS 2 Windows

macOS

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer

Pufferfehler

 

Willkürliche Ausführung von Code

 

Kritisch

 

CVE-2018-15998

CVE-2018-15987

 

Nicht vertrauenswürdige Zeiger-Dereferenzierung

 

Willkürliche Ausführung von Code

 

 

 

Kritisch

 

 

CVE-2018-16004

CVE-2018-19720

Sicherheitsbypass

 

Berechtigungsausweitung

 

Kritisch

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

Use After Free

 

 

 

 

Willkürliche Ausführung von Code

 

 

 

 

Kritisch

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Schreibvorgang außerhalb des gültigen Bereichs 

 

 

 

 

Willkürliche Ausführung von Code

 

 

 

 

Kritisch

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Heap-Überlauf

 

 

 

 

Willkürliche Ausführung von Code

 

 

 

 

Kritisch

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Lesevorgang außerhalb des gültigen Bereichs

 

 

 

 

Offenlegung von Informationen

 

 

 

 

Wichtig

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Ganzzahlüberlauf

 

Offenlegung von Informationen

 

 

 

Wichtig

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Sicherheitsbypass Offenlegung von Informationen Wichtig CVE-2018-16042

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Anonym gemeldet über die Zero Day Initiative von Trend Micro (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu von Tencent's Xuanwu Lab (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • kdot in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me) von Source Incite im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008).

  • Du pingxin vom NSFOCUS Security Team (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang von der Beihang University im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-16014)

  • guyio im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng von Trend Micro Security Research im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-15985)

  • XuPeng vom TCA/SKLCS Institute of Software, Chinese Academy of Sciences und HuangZheng vom Baidu Security Lab (CVE-2018-12830)

  • Linan Hao vom Qihoo 360 Vulcan Team und Zhenjie Jia vom Qihoo 360 Vulcan Team (CVE-2018-16041)

  • Steven Seeley im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-16008)

  • Roderick Schaefer im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-19713)

  • Lin Wang von der Beihang University (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav  Mladenov,  Christian  Mainka,  Karsten  Meyer  zu  Selhausen, Martin Grothe, Jorg Schwenk von der Ruhr-Universität Bochum (CVE-2018-16042)

  • Aleksandar Nikolic von Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) im Rahmen der Zero Day Initiative von Trend Micro (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Ein besonderer Dank geht an Abdul Aziz Hariri von der Zero Day Initiative von Trend Micro für seinen Defense-in-Depth-Beitrag zur Härtung von Umgehungen der JavaScript-API-Einschränkungen (CVE-2018-16018)

  • An AbdulAziz Hariri von der Zero Day Initiative und Sebastian Apelt für ihre Defense-in-Depth-Beiträge zum Verringern der Oberfläche von Onix Indexing-Angriffen (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng von Palo Alto Networks (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang von Palo Alto Networks (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao und Qi Deng von Palo Alto Networks (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao und Zhibin Zhang von Palo Alto Networks (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu von Palo Alto Networks und Heige vom Knownsec 404 Security Team (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)