可用于 Adobe Acrobat 和 Reader 的安全更新 | APSB17-36
公告 ID 发布日期 优先级
APSB17-36 2017 年 11 月 14 日 2

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 Macintosh 版发布了安全更新。这些更新修复了可能允许攻击者控制受影响系统的关键漏洞。

受影响的版本

产品 受影响的版本 平台
Acrobat DC(连续版) 2017.012.20098 及更早版本
Windows 和 Macintosh
Acrobat Reader DC(连续版) 2017.012.20098 及更早版本
Windows 和 Macintosh
     
Acrobat 2017 2017.011.30066 及更早版本 Windows 和 Macintosh
Acrobat Reader 2017 2017.011.30066 及更早版本 Windows 和 Macintosh
     
Acrobat DC(经典版) 2015.006.30355 及更早版本
Windows 和 Macintosh
Acrobat Reader DC(经典版) 2015.006.30355 及更早版本
Windows 和 Macintosh
     
Acrobat XI 11.0.22 及更早版本 Windows 和 Macintosh
Reader XI 11.0.22 及更早版本 Windows 和 Macintosh

有关 Acrobat DC 的详细信息,请访问 Acrobat DC 常见问题解答页面

有关 Acrobat Reader DC 的详细信息,请访问 Acrobat Reader DC 常见问题解答页面

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无需用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper 和 SCUP/SCCM
    (Windows),或者 Apple Remote Desktop 和 SSH (Macintosh)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级等级 获取途径
Acrobat DC(连续版) 2018.009.20044
Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader DC(连续版) 2018.009.20044
Windows 和 Macintosh 2 下载中心
         
Acrobat 2017 2017.011.30068 Windows 和 Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows 和 Macintosh 2 Windows
Macintosh
         
Acrobat DC(经典版) 2015.006.30392
Windows 和 Macintosh
2 Windows
Macintosh
Acrobat Reader DC(经典版) 2015.006.30392 
Windows 和 Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows 和 Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows 和 Macintosh 2 Windows
Macintosh

注意:

如之前的公告中所述,对 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的支持已于 2017 年 10 月 15 日终止。版本 11.0.23 是 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的最后一个版本。Adobe 强烈建议您更新到 Adobe Acrobat DC 和 Adobe Acrobat Reader DC 的最新版本。在将安装的产品更新到最新版本后,其最新的增强功能和改进的安全措施将为您带来极大的益处。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
访问未初始化的指针 远程代码执行
关键 CVE-2017-16377
CVE-2017-16378
释放后使用 远程代码执行
关键 CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
长度值不正确的缓冲区访问 远程代码执行 关键 CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
缓冲区过度读取 远程代码执行 关键 CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
缓冲区溢出/下溢 远程代码执行 关键 CVE-2017-16368
堆溢出 远程代码执行 关键 CVE-2017-16383
数组索引验证不当 远程代码执行 关键

CVE-2017-16391
CVE-2017-16410

越界读取 远程代码执行 关键 CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
越界写入 远程代码执行 关键 CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
安全旁路 路过式下载 重要
CVE-2017-16361
CVE-2017-16366
安全旁路 信息泄露 重要 CVE-2017-16369
安全旁路 远程代码执行
关键
CVE-2017-16380
堆栈耗尽 过度资源消耗 重要 CVE-2017-16419
类型混淆 远程代码执行 关键 CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
不受信任的指针解除引用 远程代码执行 关键 CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

致谢

Adobe 衷心感谢以下个人和组织,
感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • Toan Pham Van (@__suto)(CVE-2017-16362、CVE-2017-16363、CVE-2017-16364、CVE-2017-16365)
  • 来自腾讯玄武实验室并参与趋势科技“零日计划”(Zero Day Initiative) 的 Ke Liu(CVE-2017-16381、CVE-2017-16382、CVE-2017-16383、CVE-2017-16384、CVE-2017-16385、CVE-2017-16386、CVE-2017-16387、CVE-2017-16400、CVE-2017-16401、CVE-2017-16402、CVE-2017-16403、CVE-2017-16404)
  • 来自腾讯玄武实验室的 Ke Liu(CVE-2017-16370、CVE-2017-16371、CVE-2017-16372、CVE-2017-16373、CVE-2017-16374、CVE-2017-16375)
  • 来自 Offensive Security 并参与趋势科技“零日计划”(Zero Day Initiative) 的 Steven Seeley (mr_me) (CVE-2017-16369)
  • 来自 TELUS 安全实验室的 Kamlapati Choubey (CVE-2017-16415)
  • 来自思科 Talos 团队的 Aleksandar Nikolic http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk)(CVE-2017-16366、CVE-2017-16361)
  • 来自腾讯安全平台部门的 riusksk (泉哥)(CVE-2017-11293、CVE-2017-16408、CVE-2017-16409、CVE-2017-16410、CVE-2017-16411、CVE-2017-16399、CVE-2017-16395、CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • 来自北京航空航天大学的 Lin Wang(CVE-2017-16416、CVE-2017-16417、CVE-2017-16418、CVE-2017-16405)
  • 来自腾讯电脑管家部门的 willJ(CVE-2017-16406、CVE-2017-16407、CVE-2017-16419、CVE-2017-16412、CVE-2017-16413、CVE-2017-16396、CVE-2017-16397、CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com(CVE-2017-16376、CVE-2017-16377、CVE-2017-16378、CVE-2017-16379)
  • 来自 NCC Group Plc 的 Richard Warren (CVE-2017-16380)
  • 来自 Palo Alto Networks 的 Gal De Leon(CVE-2017-16388、CVE-2017-16389、CVE-2017-16390、CVE-2017-16393、CVE-2017-16398、CVE-2017-16414、CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari - 与 iDefense Labs 合作的 Srishti 计划 (CVE-2017-16368)