Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 MacOS 版发布了安全更新。这些更新解决了关键漏洞,如果成功利用这些漏洞,则可能导致在当前用户的上下文中出现任意代码执行。
Adobe 收到报告,称有人伺机利用漏洞 CVE-2018-4990。此外,CVE-2018-4993 的概念证明代码已发布,并且公开可用。
有关 Acrobat DC 的详细信息,请访问 Acrobat DC 常见问题解答页面。
有关 Acrobat Reader DC 的详细信息,请访问 Acrobat Reader DC 常见问题解答页面。
Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:
- 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
- 产品将在检测到更新时自动更新,而无需用户干预。
- 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。
对于 IT 管理员(托管环境):
- 从 ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
- 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper 和 SCUP/SCCM
(Windows),或者 Apple Remote Desktop 和 SSH (Macintosh)。
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:
| 产品 | 更新后的版本 | 平台 | 优先级等级 | 获取途径 |
|---|---|---|---|---|
| Acrobat DC | 2018.011.20040 |
Windows 和 macOS | 1 | Windows macOS |
| Acrobat Reader DC | 2018.011.20040 |
Windows 和 macOS | 1 | Windows macOS |
| Acrobat 2017 | 2017.011.30080 | Windows 和 macOS | 1 | Windows macOS |
| Acrobat Reader DC 2017 | 2017.011.30080 | Windows 和 macOS | 1 | Windows macOS |
| Acrobat Reader DC (Classic 2015) | 2015.006.30418 |
Windows 和 macOS |
1 | Windows macOS |
| Acrobat DC (Classic 2015) | 2015.006.30418 | Windows 和 macOS | 1 | Windows macOS |
注意:
如之前的公告中所述,对 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的支持已于 2017 年 10 月 15 日终止。版本 11.0.23 是 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的最后一个版本。Adobe 强烈建议您更新到 Adobe Acrobat DC 和 Adobe Acrobat Reader DC 的最新版本。在将安装的产品更新到最新版本后,其最新的增强功能和改进的安全措施将为您带来极大的益处。
Adobe 衷心感谢以下个人和组织,
感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
- 来自 Cisco Talos(思科安全情报与研究小组)的 Aleksandar Nikolic(CVE-2018-4996、CVE-2018-4947)
- 来自 ESET 的 Anton Cherepanov 和来自 Microsoft 的 Matt Oh (CVE-2018-4990)
- 来自 Kaspersky Lab 的 Vladislav Stolyarov(CVE-2018-4988、CVE-2018-4987)
- 来自 Check Point Software Technologies 的 Yoav Alon 和 Netanel Ben-Simon (CVE-2018-4985)
- 来自 Palo Alto Networks 的 Gal De Leon(CVE-2018-4959、CVE-2018-4961)
- 来自腾讯玄武实验室的 Ke Liu(CVE-2018-4960、CVE-2018-4986)
- 通过趋势科技“Zero Day Initiative”计划报告的匿名人士(CVE-2018-4950、CVE-2018-4951、CVE-2018-4952、CVE-2018-4953、CVE-2018-4954、CVE-2018-4962、CVE-2018-4974)
- 来自腾讯电脑管家并通过趋势科技“Zero Day Initiative”计划报告的 WillJ(CVE-2018-4948、CVE-2018-4949、CVE-2018-4955、CVE-2018-4971、CVE-2018-4973)
- 来自腾讯安全平台部并通过趋势科技“Zero Day Initiative”计划报告的 Riusksk(CVE-2018-4956、CVE-2018-4957)
- 通过趋势科技“Zero Day Initiative”计划报告的 Steven Seeley(CVE-2018-4963、CVE-2018-4964、CVE-2018-4965、CVE-2018-4966、CVE-2018-4968、CVE-2018-4969)
- 来自腾讯玄武实验室并通过趋势科技“Zero Day Initiative”计划报告的 Ke Liu(CVE-2018-4967、CVE-2018-4970、CVE-2018-4972、CVE-2018-4975、CVE-2018-4976、CVE-2018-4978、CVE-2018-4981、CVE-2018-4982)
- 通过趋势科技“Zero Day Initiative”计划报告的 Sebastian Apelt siberas (CVE-2018-4977)
- 通过趋势科技“Zero Day Initiative”计划报告的 AbdulAziz Hariri(CVE-2018-4979、CVE-2018-4980、CVE-2018-4984)
- 来自 Palo Alto Networks 的 Hui Gao 和来自知道创宇 404 实验室的“黑哥”(SuperHei)(CVE-2018-4958、CVE-2018-4983)
- Cybellum Technologies LTD (CVE-2018-4989)
- 来自 Cure53 的 Alex (CVE-2018-4995)
- 来自 Check Point Software Technologies 的 Assaf Baharav、Yaron Fruchtmann 和 Ido Solomon (CVE-2018-4993)
2018 年 5 月 15 日:添加了语言以告知用户有人伺机利用漏洞 CVE-2018-4990,且 CVE-2018-4985 的概念证明代码已发布并且公开可用。另外,还添加了 CVE-2018-4995 以替换 CVE-2018-4994,该漏洞编号已被分配给 Adobe Connect 中一个不相关的漏洞。最后,添加了 CVE-2018-4996 以替换 CVE-2018-4946,该漏洞编号已被分配给 Adobe Photoshop 中一个不相关的漏洞。
2018 年 5 月 16 日:通过将 CVE-2018-4985 替换为 CVE-2018-4993,更正了摘要部分。漏洞 CVE-2018-4993(而不是 CVE-2018-4985)的概念证明代码已公开可用。
2018 年 5 月 17 日:添加了一个指向文档的链接,该文档描述了适合处理漏洞 CVE-2018-4993 的其他缓解措施,这个漏洞会阻止用户执行 PDF 文档中的链接。