Adobe 安全公告

发布日期：2017 年 1 月 5 日

上次更新日期：2017 年 3 月 30 日

漏洞标识符：APSB17-01

优先级：2

CVE 编号：CVE-2017-2939、CVE-2017-2940、CVE-2017-2941、CVE-2017-2942、CVE-2017-2943、CVE-2017-2944、CVE-2017-2945、CVE-2017-2946、CVE-2017-2947、CVE-2017-2948、CVE-2017-2949、CVE-2017-2950、CVE-2017-2951、CVE-2017-2952、CVE-2017-2953、CVE-2017-2954、CVE-2017-2955、CVE-2017-2956、CVE-2017-2957、CVE-2017-2958、CVE-2017-2959、CVE-2017-2960、CVE-2017-2961、CVE-2017-2962、CVE-2017-2963、CVE-2017-2964、CVE-2017-2965、CVE-2017-2966、CVE-2017-2967、CVE-2017-2970、CVE-2017-2971、CVE-2017-2972、CVE-2017-3009、CVE-2017-3010

平台：Windows 和 Macintosh

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

有关 Acrobat DC 的疑问，请访问 Acrobat DC 常见问题解答页面。有关 Acrobat Reader DC 的疑问，请访问 Acrobat Reader DC 常见问题解答页面。

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。

终端用户可通过以下一种方式，获取最新的产品版本：

• 用户可以通过选择“帮助”>“检查更新”，手动更新他们的产品安装。 
• 产品将在检测到更新时自动更新，而无须用户干预。 
• 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。
  

对于 IT 管理员（托管环境）：

• 从 ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序，或参阅特定发行说明版本，以获取安装程序链接。
• 通过您的首选方法安装更新，例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows)，或 Macintosh、Apple Remote Desktop、SSH (Macintosh)。
  

Adobe 按照以下优先级将这些更新分类，并建议用户将其安装的软件更新至最新版本：

• 这些更新修复了可能导致代码执行的类型混淆漏洞 (CVE-2017-2962)。
• 这些更新修复了若干可能导致代码执行的释放后使用漏洞（CVE-2017-2950、CVE-2017-2951、CVE-2017-2955、CVE-2017-2956、CVE-2017-2957、CVE-2017-2958、CVE-2017-2961）。
• 这些更新修复了若干可能导致代码执行的堆缓冲区溢出漏洞（CVE-2017-2942、CVE-2017-2945、CVE-2017-2946、CVE-2017-2949、CVE-2017-2959、CVE-2017-2966、CVE-2017-2970、CVE-2017-2971、CVE-2017-2972）。
• 这些更新解决了若干可导致代码执行的缓冲区溢出漏洞（CVE-2017-2948、CVE-2017-2952）。
• 这些更新修复了可能导致代码执行的内存破坏漏洞（CVE-2017-2939、CVE-2017-2940、CVE-2017-2941、CVE-2017-2943、CVE-2017-2944、CVE-2017-2953、CVE-2017-2954、CVE-2017-2960、CVE-2017-2963、CVE-2017-2964、CVE-2017-2965、CVE-2017-2967、CVE-2017-3010）。
• 这些更新解决了一个安全绕过漏洞 (CVE-2017-2947)。
• 这些更新修复了可能导致信息泄露的缓冲区溢出漏洞 (CVE-2017-3009)。

Adobe 衷心感谢以下个人和组织，感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户：

• 来自 Clarified Security 的 Jaanus Kääp 和参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的匿名人士 (CVE-2017-2939)
• 来自腾讯电脑管家 (Tencent PC Manager) 的 kelvinwang（CVE-2017-2955、CVE-2017-2956、CVE-2017-2957、CVE-2017-2958）
• 来自 Source Incite 并参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的 Steven Seeley 和来自 Fortinet FortiGuard 实验室的 Kushal Arvind Shah (CVE-2017-2946)
• 参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的 Sebastian Apelt (siberas)（CVE-2017-2961、CVE-2017-2967）
• 来自腾讯公司玄武实验室的 Ke Liu（CVE-2017-2940、CVE-2017-2942、CVE-2017-2943、CVE-2017-2944、CVE-2017-2945、CVE-2017-2952、CVE-2017-2953、CVE-2017-2954、CVE-2017-2972）
• 参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的 kdot（CVE-2017-2941、CVE-2017-3009）
• 参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的 Nicolas Grgoire (Agarri) (CVE-2017-2962)
• 参与“iDefense 漏洞贡献者计划”的 Nicolas Grégoire - Agarri (CVE-2017-2948)
• 参与 Trend Micro（趋势科技）Zero Day Initiative 的匿名人士（CVE-2017-2951、CVE-2017-2970）
• 参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的匿名人士和参与 iDefense 的匿名人士 (CVE-2017-2950)
  
• 来自腾讯公司玄武实验室并参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的 Ke Liu 和来自腾讯安全平台部门的 riusksk（泉哥）(CVE-2017-2959)
  
• 来自腾讯公司玄武实验室并参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的 Ke Liu（CVE-2017-2960、CVE-2017-2963、CVE-2017-2964、CVE-2017-2965、CVE-2017-2966）
• 来自南洋理工大学的 Wei Lei 和 Liu Yang、参与 Trend Micro（趋势科技）“Zero Day Initiative”计划的匿名人士以及参与 iDefense 漏洞贡献者计划的 Nicolas Grégoire - Agarri (CVE-2017-2949)
• 来自 Cure53.de 的 Alex Inführ (CVE-2017-2947)
• 来自 Cisco Talos（思科安全情报与研究小组）的 Aleksandar Nikolic (CVE-2017-2971)
  
• 来自 Fortinet FortiGuard 实验室的 Kushal Arvind Shah 和 Peixue Li (CVE-2017-3010)

2017 年 1 月 20 日：添加了对 CVE-2017-2970、CVE-2017-2971 和 CVE-2017-2972 的参考，它们是在公告中因疏忽而遗漏的。

2017 年 2 月 16 日：更新了有关 CVE-2017-2939、CVE-2017-2946、CVE-2017-2949、CVE-2017-2950 和 CVE-2017-2959 的鸣谢内容，它们是在公告中因疏忽而遗漏的。

2017 年 3 月 30 日：更新了有关 CVE-2017-3009 和 CVE-2017-3010 的鸣谢内容，它们是在公告中因疏忽而遗漏的。