可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB17-24
公告 ID 发布日期 优先级
APSB17-24 2017 年 8 月 8 日 2

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新解决了可能允许攻击者控制受影响系统的严重等级为关键重要的漏洞。

受影响的版本

这些更新将解决软件中的关键漏洞。Adobe 将对这些更新指定以下优先级:

产品 受影响的版本 平台
Acrobat DC(连续版) 2017.009.20058 及更早版本
Windows 和 Macintosh
Acrobat Reader DC(连续版) 2017.009.20058 及更早版本
Windows 和 Macintosh
     
Acrobat 2017 2017.008.30051 及更早版本 Windows 和 Macintosh
Acrobat Reader 2017 2017.008.30051 及更早版本 Windows 和 Macintosh
     
Acrobat DC(经典版) 2015.006.30306 及更早版本
Windows 和 Macintosh
Acrobat Reader DC(经典版) 2015.006.30306 及更早版本
Windows 和 Macintosh
     
Acrobat XI 11.0.20 及更早版本 Windows 和 Macintosh
Reader XI 11.0.20 及更早版本 Windows 和 Macintosh

有关 Acrobat DC 的详细信息,请访问 Acrobat DC 常见问题解答页面

有关 Acrobat Reader DC 的详细信息,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。

终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无需用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper 和 SCUP/SCCM
    (Windows),或者 Apple Remote Desktop 和 SSH (Macintosh)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新版本 平台 优先级等级 获取途径
Acrobat DC(连续版) 2017.012.20098
Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader DC(连续版) 2017.012.20098 Windows 和 Macintosh 2 下载中心
         
Acrobat 2017 2017.011.30066 Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows 和 Macintosh 2 Windows
Macintosh
         
Acrobat DC(经典版) 2015.006.30355
Windows 和 Macintosh
2 Windows
Macintosh
Acrobat Reader DC(经典版) 2015.006.30355 
Windows 和 Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows 和 Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows 和 Macintosh 2 Windows
Macintosh

注意:

版本 11.0.22 适用于受 11.0.21 中引入的 XFA 表单功能性回归影响的用户(有关更多详情,请参阅此处)。11.0.22 和 11.0.21 解决了本公告中引用的所有安全漏洞。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
内存破坏 远程代码执行 关键 CVE-2017-3016
内存破坏 远程代码执行 关键 CVE-2017-3038
免费使用 远程代码执行 关键 CVE-2017-3113
对数据真实性的验证不足 信息泄露 重要 CVE-2017-3115
内存破坏 远程代码执行 关键 CVE-2017-3116
堆溢出 远程代码执行 关键 CVE-2017-3117
安全旁路 信息泄露 重要 CVE-2017-3118
内存破坏 远程代码执行 重要 CVE-2017-3119
免费使用 远程代码执行 关键 CVE-2017-3120
堆溢出 远程代码执行 关键 CVE-2017-3121
内存破坏 信息泄露 重要 CVE-2017-3122
内存破坏 远程代码执行 关键 CVE-2017-3123
内存破坏 远程代码执行 关键 CVE-2017-3124
内存破坏 信息泄露 重要 CVE-2017-11209
内存破坏 信息泄露 重要 CVE-2017-11210
堆溢出 远程代码执行 关键 CVE-2017-11211
内存破坏 远程代码执行 关键 CVE-2017-11212
内存破坏 远程代码执行 关键 CVE-2017-11214
内存破坏 远程代码执行 关键 CVE-2017-11216
内存破坏 信息泄露 重要 CVE-2017-11217
免费使用 远程代码执行 关键 CVE-2017-11218
免费使用 远程代码执行 关键 CVE-2017-11219
堆溢出 远程代码执行 关键 CVE-2017-11220
类型混淆 远程代码执行 关键 CVE-2017-11221
内存破坏 远程代码执行 关键 CVE-2017-11222
免费使用 远程代码执行 关键 CVE-2017-11223
免费使用 远程代码执行 关键 CVE-2017-11224
内存破坏 远程代码执行 关键 CVE-2017-11226
内存破坏 远程代码执行 关键 CVE-2017-11227
内存破坏 远程代码执行 关键 CVE-2017-11228
安全旁路 远程代码执行 重要 CVE-2017-11229
内存破坏 信息泄露 重要 CVE-2017-11230
免费使用 远程代码执行 关键 CVE-2017-11231
免费使用 信息泄露 重要 CVE-2017-11232
内存破坏 信息泄露 重要 CVE-2017-11233
内存破坏 远程代码执行 关键 CVE-2017-11234
免费使用 远程代码执行 关键 CVE-2017-11235
内存破坏 信息泄露 重要 CVE-2017-11236
内存破坏 远程代码执行 关键 CVE-2017-11237
内存破坏 信息泄露 关键 CVE-2017-11238
内存破坏 信息泄露 关键 CVE-2017-11239
堆溢出 远程代码执行 关键 CVE-2017-11241
内存破坏 信息泄露 重要 CVE-2017-11242
内存破坏 信息泄露 重要 CVE-2017-11243
内存破坏 信息泄露 重要 CVE-2017-11244
内存破坏 信息泄露 重要 CVE-2017-11245
内存破坏 信息泄露 重要 CVE-2017-11246
内存破坏 信息泄露 重要 CVE-2017-11248
内存破坏 信息泄露 重要 CVE-2017-11249
内存破坏 远程代码执行 关键 CVE-2017-11251
内存破坏 信息泄露 关键 CVE-2017-11252
免费使用 远程代码执行 重要 CVE-2017-11254
内存破坏 信息泄露 重要 CVE-2017-11255
免费使用 远程代码执行 关键 CVE-2017-11256
类型混淆 远程代码执行 关键 CVE-2017-11257
内存破坏 信息泄露 重要 CVE-2017-11258
内存破坏 远程代码执行 关键 CVE-2017-11259
内存破坏 远程代码执行 关键 CVE-2017-11260
内存破坏 远程代码执行 关键 CVE-2017-11261
内存破坏 远程代码执行 关键 CVE-2017-11262
内存破坏 远程代码执行 重要 CVE-2017-11263
内存破坏 信息泄露 重要 CVE-2017-11265
内存破坏 远程代码执行 关键 CVE-2017-11267
内存破坏 远程代码执行 关键 CVE-2017-11268
内存破坏 远程代码执行 关键 CVE-2017-11269
内存破坏 远程代码执行 关键 CVE-2017-11270
内存破坏 远程代码执行 关键 CVE-2017-11271

注意:

CVE-2017-3038 已在 2017.009.20044 和 2015.006.30306(2017 年 4 月版本)中得到解决,但对于版本 11.0.20,修复还不完整。此漏洞现已在版本 11.0.21(2017 年 8 月版本)中得到完全解决。 

致谢

Adobe 衷心感谢以下个人和组织,
感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 @vftable(CVE-2017-11211、CVE-2017-11251)
  • 来自 Cisco Talos(思科安全情报与研究小组)的 Aleksandar Nikolic (CVE-2017-11263)
  • 来自 Cure 53 的 Alex Infuhr (CVE-2017-11229)
  • 来自 Project Srishti 的 Ashfaq Ansari (CVE-2017-11221)
  • 来自 Project Srishti 并参与 iDefense“漏洞贡献者计划”(Vulnerability Contributor Program) 的 Ashfaq Ansari (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • 通过趋势科技“零日计划”(Zero Day Initiative) 匿名报告(CVE-2017-3113、CVE-2017-3120、CVE-2017-11218、CVE-2017-11224、CVE-2017-11223)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Fernando Munoz (CVE-2017-3115)
  • 来自 STEALIEN & HIT 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Giwan Go(CVE-2017-11228、CVE-2017-11230)
  • Heige(又名 SuperHei)(CVE-2017-11222)
  • 来自 Clarified Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Jaanus Kp(CVE-2017-11236、CVE-2017-11237、CVE-2017-11252、CVE-2017-11231、CVE-2017-11265)
  • 来自 Clarified Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Jaanus Kp 和来自 Project Srishti 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Ashfaq Ansari (CVE-2017-11231)
  • 来自腾讯科恩实验室的 Jihui Lu (CVE-2017-3119)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 kdot(CVE-2017-11234、CVE-2017-11235、CVE-2017-11271)
  • 来自腾讯玄武实验室并参与趋势科技“零日计划”(Zero Day Initiative) 的 Ke Liu(CVE-2017-3121、CVE-2017-3122、CVE-2017-11212、CVE-2017-11216、CVE-2017-11217、CVE-2017-11238、CVE-2017-11239、CVE-2017-11241、CVE-2017-11242、CVE-2017-11243、CVE-2017-11244、CVE-2017-11245、CVE-2017-11246、CVE-2017-11248、CVE-2017-11249、CVE-2017-11233、CVE-2017-11261、CVE-2017-11260、CVE-2017-11258、CVE-2017-11259、CVE-2017-11267、CVE-2017-11268、CVE-2017-11269、CVE-2017-11259、CVE-2017-11270、CVE-2017-11261)
  • 来自腾讯玄武实验室并参与趋势科技“零日计划”(Zero Day Initiative) 的 Ke Liu 和来自 Offensive Security 的 Steven Seeley (mr_me)(CVE-2017-11212、CVE-2017-11214、CVE-2017-11227)
  • 参与 Beyond Security“SecuriTeam Secure Disclosure Program”计划的 Siberas (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • 来自腾讯安全平台部门的 riusksk (CVE-2017-3016)
  • 参与趋势科技“零日计划”(Zero Day Initiative) 的 Sebastian Apelt siberas(CVE-2017-11219、CVE-2017-11256、CVE-2017-11257)
  • 来自 Offensive Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Steven Seeley (mr_me)(CVE-2017-11209、CVE-2017-11210、CVE-2017-11232、CVE-2017-11255、CVE-2017-3123、CVE-2017-3124)
  • 参与 Beyond Security“SecuriTeam Secure Disclosure Program”计划的 Steven Seeley (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226
  • Toan Pham (CVE-2017-3116)

修订

2017 年 8 月 29:已更新解决方案,以反映截至 8 月 29 日推出的新更新。这些更新解决了 XFA 表单功能存在的影响部分用户的功能性回归问题。8 月 29 日发行版还解决了安全漏洞 CVE-2017-11223。

最初在 8 月 8 日更新(版本 2017.012.20093、2017.011.30059 和 2015.006.30352)中就已经解决了 CVE-2017-11223,但由于这些发行版中的功能性回归,提供的临时修复程序恢复了对 CVE-2017-11223 的修复。8 月 29 日发行版不仅解决了回归问题,还针对 CVE-2017-11223 提供了修复。有关更多详情,请参阅此博客文章