上次更新日期:
2022年1月14日
可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB17-24
|
发布日期 |
优先级 |
|
|---|---|---|
|
APSB17-24 |
2017 年 8 月 8 日 |
2 |
摘要
受影响的版本
有关 Acrobat DC 的详细信息,请访问 Acrobat DC 常见问题解答页面。
有关 Acrobat Reader DC 的详细信息,请访问 Acrobat Reader DC 常见问题解答页面。
解决方案
Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:
- 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
- 产品将在检测到更新时自动更新,而无需用户干预。
- 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。
对于 IT 管理员(托管环境):
- 从 ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
- 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper 和 SCUP/SCCM
(Windows),或者 Apple Remote Desktop 和 SSH (Macintosh)。
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:
| 产品 | 更新后的版本 | 平台 | 优先级 | 获取途径 |
|---|---|---|---|---|
| Acrobat DC(连续版) | 2017.012.20098 |
Windows 和 Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC(连续版) | 2017.012.20098 | Windows 和 Macintosh | 2 | 下载中心 |
| Acrobat 2017 | 2017.011.30066 | Windows 和 Macintosh | 2 | Windows Macintosh |
| Acrobat Reader 2017 | 2017.011.30066 | Windows 和 Macintosh | 2 | Windows Macintosh |
| Acrobat DC(经典版) | 2015.006.30355 |
Windows 和 Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC(经典版) | 2015.006.30355 |
Windows 和 Macintosh | 2 | Windows Macintosh |
| Acrobat XI | 11.0.21 | Windows 和 Macintosh | 2 | Windows Macintosh |
| Reader XI | 11.0.21 | Windows 和 Macintosh | 2 | Windows Macintosh |
注意:
版本 11.0.22 适用于受 11.0.21 中引入的 XFA 表单功能性回归影响的用户(有关更多详情,请参阅此处)。11.0.22 和 11.0.21 解决了本公告中引用的所有安全漏洞。
漏洞详情
| 漏洞类别 | 漏洞影响 | 严重性 | CVE 编号 |
|---|---|---|---|
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-3016 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-3038 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-3113 |
| 对数据真实性的验证不足 | 信息泄露 | 重要 | CVE-2017-3115 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-3116 |
| 堆溢出 | 远程代码执行 | 关键 | CVE-2017-3117 |
| 安全旁路 | 信息泄露 | 重要 | CVE-2017-3118 |
| 内存破坏 | 远程代码执行 | 重要 | CVE-2017-3119 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-3120 |
| 堆溢出 | 远程代码执行 | 关键 | CVE-2017-3121 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-3122 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-3123 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-3124 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11209 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11210 |
| 堆溢出 | 远程代码执行 | 关键 | CVE-2017-11211 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11212 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11214 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11216 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11217 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-11218 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-11219 |
| 堆溢出 | 远程代码执行 | 关键 | CVE-2017-11220 |
| 类型混淆 | 远程代码执行 | 关键 | CVE-2017-11221 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11222 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-11223 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-11224 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11226 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11227 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11228 |
| 安全旁路 | 远程代码执行 | 重要 | CVE-2017-11229 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11230 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-11231 |
| 免费使用 | 信息泄露 | 重要 | CVE-2017-11232 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11233 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11234 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-11235 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11236 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11237 |
| 内存破坏 | 信息泄露 | 关键 | CVE-2017-11238 |
| 内存破坏 | 信息泄露 | 关键 | CVE-2017-11239 |
| 堆溢出 | 远程代码执行 | 关键 | CVE-2017-11241 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11242 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11243 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11244 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11245 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11246 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11248 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11249 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11251 |
| 内存破坏 | 信息泄露 | 关键 | CVE-2017-11252 |
| 免费使用 | 远程代码执行 | 重要 | CVE-2017-11254 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11255 |
| 免费使用 | 远程代码执行 | 关键 | CVE-2017-11256 |
| 类型混淆 | 远程代码执行 | 关键 | CVE-2017-11257 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11258 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11259 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11260 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11261 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11262 |
| 内存破坏 | 远程代码执行 | 重要 | CVE-2017-11263 |
| 内存破坏 | 信息泄露 | 重要 | CVE-2017-11265 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11267 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11268 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11269 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11270 |
| 内存破坏 | 远程代码执行 | 关键 | CVE-2017-11271 |
注意:
CVE-2017-3038 已在 2017.009.20044 和 2015.006.30306(2017 年 4 月版本)中得到解决,但对于版本 11.0.20,修复还不完整。此漏洞现已在版本 11.0.21(2017 年 8 月版本)中得到完全解决。
致谢
Adobe 衷心感谢以下个人和组织,
感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
- 参与趋势科技“零日计划”(Zero Day Initiative) 的 @vftable(CVE-2017-11211、CVE-2017-11251)
- 来自 Cisco Talos(思科安全情报与研究小组)的 Aleksandar Nikolic (CVE-2017-11263)
- 来自 Cure 53 的 Alex Infuhr (CVE-2017-11229)
- 来自 Project Srishti 的 Ashfaq Ansari (CVE-2017-11221)
- 来自 Project Srishti 并参与 iDefense“漏洞贡献者计划”(Vulnerability Contributor Program) 的 Ashfaq Ansari (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- 通过趋势科技“零日计划”(Zero Day Initiative) 匿名报告(CVE-2017-3113、CVE-2017-3120、CVE-2017-11218、CVE-2017-11224、CVE-2017-11223)
- 参与趋势科技“零日计划”(Zero Day Initiative) 的 Fernando Munoz (CVE-2017-3115)
- 来自 STEALIEN & HIT 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Giwan Go(CVE-2017-11228、CVE-2017-11230)
- 来自 Knwonsec 404 Team 的 Heige(又名 SuperHei)(CVE-2017-11222)
- 来自 Clarified Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Jaanus Kp(CVE-2017-11236、CVE-2017-11237、CVE-2017-11252、CVE-2017-11231、CVE-2017-11265)
- 来自 Clarified Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Jaanus Kp 和来自 Project Srishti 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Ashfaq Ansari (CVE-2017-11231)
- 来自腾讯科恩实验室的 Jihui Lu (CVE-2017-3119)
- 参与趋势科技“零日计划”(Zero Day Initiative) 的 kdot(CVE-2017-11234、CVE-2017-11235、CVE-2017-11271)
- 来自腾讯玄武实验室并参与趋势科技“零日计划”(Zero Day Initiative) 的 Ke Liu(CVE-2017-3121、CVE-2017-3122、CVE-2017-11212、CVE-2017-11216、CVE-2017-11217、CVE-2017-11238、CVE-2017-11239、CVE-2017-11241、CVE-2017-11242、CVE-2017-11243、CVE-2017-11244、CVE-2017-11245、CVE-2017-11246、CVE-2017-11248、CVE-2017-11249、CVE-2017-11233、CVE-2017-11261、CVE-2017-11260、CVE-2017-11258、CVE-2017-11259、CVE-2017-11267、CVE-2017-11268、CVE-2017-11269、CVE-2017-11259、CVE-2017-11270、CVE-2017-11261)
- 来自腾讯玄武实验室并参与趋势科技“零日计划”(Zero Day Initiative) 的 Ke Liu 和来自 Offensive Security 的 Steven Seeley (mr_me)(CVE-2017-11212、CVE-2017-11214、CVE-2017-11227)
- 参与 Beyond Security“SecuriTeam Secure Disclosure Program”计划的 Siberas (CVE-2017-11254)
- Richard Warren (CVE-2017-3118)
- 来自腾讯安全平台部门的 riusksk (CVE-2017-3016)
- 参与趋势科技“零日计划”(Zero Day Initiative) 的 Sebastian Apelt siberas(CVE-2017-11219、CVE-2017-11256、CVE-2017-11257)
- 来自 Offensive Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Steven Seeley (mr_me)(CVE-2017-11209、CVE-2017-11210、CVE-2017-11232、CVE-2017-11255、CVE-2017-3123、CVE-2017-3124)
- 参与 Beyond Security“SecuriTeam Secure Disclosure Program”计划的 Steven Seeley (CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226
- Toan Pham (CVE-2017-3116)
修订
2017 年 8 月 29:已更新解决方案表,以反映截至 8 月 29 日推出的新更新。这些更新解决了 XFA 表单功能存在的影响部分用户的功能性回归问题。8 月 29 日发行版还解决了安全漏洞 CVE-2017-11223。
最初在 8 月 8 日更新(版本 2017.012.20093、2017.011.30059 和 2015.006.30352)中就已经解决了 CVE-2017-11223,但由于这些发行版中的功能性回归,提供的临时修复程序恢复了对 CVE-2017-11223 的修复。8 月 29 日发行版不仅解决了回归问题,还针对 CVE-2017-11223 提供了修复。有关更多详情,请参阅此博客文章。
