Adobe 安全公告

Adobe Acrobat 和 Reader 的可用安全更新

发布日期:2017 年 4 月 6 日

上次更新日期:2017 年 5 月 11 日

漏洞标识符:APSB17-11

优先级:2

CVE 编号:CVE-2017-3011、CVE-2017-3012、CVE-2017-3013、CVE-2017-3014、CVE-2017-3015、CVE-
2017-3017、CVE-2017-3018、CVE-2017-3019、CVE-2017-3020、CVE-2017-3021、CVE-2017-3022、CVE-
2017-3023、CVE-2017-3024、CVE-2017-3025、CVE-2017-3026、CVE-2017-3027、CVE-2017-3028、CVE-
2017-3029、CVE-2017-3030、CVE-2017-3031、CVE-2017-3032、CVE-2017-3033、CVE-2017-3034、CVE-
2017-3035、CVE-2017-3036、CVE-2017-3037、CVE-2017-3038、CVE-2017-3039、CVE-2017-3040、CVE-
2017-3041、CVE-2017-3042、CVE-2017-3043、CVE-2017-3044、CVE-2017-3045、CVE-2017-3046、CVE-
2017-3047、CVE-2017-3048、CVE-2017-3049、CVE-2017-3050、CVE-2017-3051、CVE-2017-3052、CVE-
2017-3053、CVE-2017-3054、CVE-2017-3055、CVE-2017-3056、CVE-2017-3057、CVE-2017-3065

平台:Windows 和 Macintosh

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

受影响的版本

产品 Track 受影响的版本 平台
Acrobat DC Continuous 15.023.20070 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Continuous 15.023.20070 及更早版本
Windows 和 Macintosh
       
Acrobat DC Classic 15.006.30280 及更早版本
Windows 和 Macintosh
Acrobat Reader DC Classic 15.006.30280 及更早版本
Windows 和 Macintosh
       
Acrobat XI Desktop 11.0.19 及更早版本 Windows 和 Macintosh
Reader XI Desktop 11.0.19 及更早版本 Windows 和 Macintosh

有关 Acrobat DC 的详细信息,请访问 Acrobat DC 常见问题解答页面

有关 Acrobat Reader DC 的详细信息,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至
最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无需用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper 和 SCUP/SCCM
    (Windows),或者 Apple Remote Desktop 和 SSH (Macintosh)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 Track 更新版本 平台 优先级等级 获取途径
Acrobat DC Continuous 2017.009.20044
Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader DC Continuous 2017.009.20044
Windows 和 Macintosh 2 下载中心
           
Acrobat DC Classic 2015.006.30306
Windows 和 Macintosh
2 Windows
Macintosh
Acrobat Reader DC Classic 2015.006.30306 
Windows 和 Macintosh 2 Windows
Macintosh
           
Acrobat XI Desktop 11.0.20 Windows 和 Macintosh 2 Windows
Macintosh
Reader XI Desktop 11.0.20 Windows 和 Macintosh 2 Windows
Macintosh

漏洞详情

  • 这些更新解决了若干可能导致代码执行的释放后使用漏洞(CVE-
    2017-3014、CVE-2017-3026、CVE-2017-3027、CVE-2017-3035、CVE-2017-3047、CVE-2017-3057)。
  • 这些更新解决了若干可能导致代码执行的堆缓冲区溢出漏洞
    (CVE-2017-3042、CVE-2017-3048、CVE-2017-3049、CVE-2017-3055)。
  • 这些更新解决了若干可能导致代码执行的内存损坏漏洞
    (CVE-2017-3015、CVE-2017-3017、CVE-2017-3018、CVE-2017-3019、CVE-2017-3023、CVE-2017-
    3024、CVE-2017-3025、CVE-2017-3028、CVE-2017-3030、CVE-2017-3036、CVE-2017-3037、CVE-
    2017-3038、CVE-2017-3039、CVE-2017-3040、CVE-2017-3041、CVE-2017-3044、CVE-2017-3050、
    CVE-2017-3051、CVE-2017-3054、CVE-2017-3056、CVE-2017-3065)。
  • 这些更新解决了可能导致代码执行的整数溢出漏洞(CVE-
    2017-3011、CVE-2017-3034)。
  • 这些更新解决了若干可能导致内存地址泄露的内存损坏漏洞
    (CVE-2017-3020、CVE-2017-3021、CVE-2017-3022、CVE-2017-3029、CVE-2017-3031、CVE-
    2017-3032、CVE-2017-3033、CVE-2017-3043、CVE-2017-3045、CVE-2017-3046、CVE-2017-3052、
    CVE-2017-3053)。
  • 这些更新解决了用于查找资源的目录搜索路径中存在的可能导致代码执行的漏洞
    (CVE-2017-3012、CVE-2017-3013)。

致谢

Adobe 衷心感谢以下个人和组织,
感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Nicolas Gregoire - Agarri (CVE-2017-3031)
  • 来自 ART&UESTC's Neklab 的 Weizhong Qian、Fuhao Li 和 Huinian Yang (CVE-2017-3037)
  • 通过 iDefense 漏洞贡献者计划 (VCP) 报告的匿名人士(CVE-2017-3014、
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 riusksk (CVE-2017-3040)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的奇虎 360 代码安全团队成员 LiuBenjin (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Keen Team(CVE-2017-3056、CVE-2017-3057)
  • Toan Pham Van (@__suto) (CVE-2017-3041)
  • 来自 Trend Micro(趋势科技)“Zero Day Initiative”计划的 AbdulAziz Hariri 和参与 Trend Micro(趋势科技)
    “Zero Day Initiative”计划的 Offensive Security 成员 Steven Seeley (mr_me) (CVE-2017-3042)
  • 来自 Trend Micro(趋势科技)“Zero Day Initiative”计划的 AbdulAziz Hariri (CVE-2017-3043)
  • 通过 iDefense 漏洞贡献者计划 (VCP) 报告的 Ashfaq Ansari - Project Srishti (CVE-2017-
    3038)
  • Offensive Security 成员 Steven Seeley (mr_me)(CVE-2017-3026、CVE-2017-3054)
  • 来自腾讯安全平台部门的 kimyok(CVE-2017-3017、CVE-2017-3018、CVE-2017-3024、CVE-2017-3025、CVE-2017-3065)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Kdot (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • 来自 Offensive Security 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Steven Seeley (mr_me)
    (CVE-2017-3047、CVE-2017-3049)
  • 来自 Offensive Security 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Steven Seeley (mr_me) 和来自腾讯公司玄武实验室的 Ke Liu (CVE-2017-3050)
  • 来自腾讯公司玄武实验室的 Ke Liu(CVE-2017-3012、CVE-2017-3015)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 soiax (CVE-2017-3022)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Sebastian Apelt (Siberas)(CVE-2017-3034、CVE-
    2017-3035)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的腾讯公司玄武实验室成员 Ke Liu(CVE-2017-3020、
    CVE-2017-3021、CVE-2017-3023、CVE-2017-3028、CVE-2017-3036、CVE-2017-3048、CVE-2017-
    3051、CVE-2017-3052、CVE-2017-3053)
  • 通过 GeekPwn 报告的腾讯电脑管家成员 June Mao (CVE-2017-3011)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 STEALIEN 成员 Giwan Go(CVE-2017-3029、CVE-
    2017-3032、CVE-2017-3033、CVE-2017-3044、CVE-2017-3045、CVE-2017-3046)

修订

2017 年 4 月 27 日:更新了有关 CVE-2017-3050 的鸣谢内容,它是在公告中因疏忽而遗漏的。

2017 年 5 月 11 日:更新了有关 CVE-2017-3040 的鸣谢内容,它是在公告中因疏忽而遗漏的。