Adobe Acrobat 和 Reader 安全公告 | APSB18-21
公告 ID 发布日期 优先级
APSB18-21 2018 年 7 月 10 日 2

摘要

Adobe 针对用于 Windows 和 macOS 中的 Adobe Acrobat 和 Reader 发布了安全更新。这些更新可修补 关键漏洞和重要漏洞。如果恶意用户成功利用这些漏洞,可能会导致在当前用户的上下文中发生任意代码执行。

受影响的版本

产品 Track 受影响的版本 平台 优先级
Acrobat DC  Continuous
2018.011.20040 及更早版本 
Windows 和 macOS 2
Acrobat Reader DC Continuous
2018.011.20040 及更早版本 
Windows 和 macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30080 及更早版本 Windows 和 macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 及更早版本 Windows 和 macOS 2
         
Acrobat DC  Classic 2015 2015.006.30418 及更早版本
Windows 和 macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30418 及更早版本
Windows 和 macOS 2

有关 Acrobat DC 的问题,请访问 Acrobat DC 常见问题解答页面

有关 Acrobat Reader DC 的问题,请访问 Acrobat Reader DC 常见问题解答页面。

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无需用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或者 Apple Remote Desktop 和 SSH (macOS)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 Track 更新后的版本 平台 优先级等级 获取途径
Acrobat DC Continuous 2018.011.20055
Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC Continuous 2018.011.20055
Windows 和 macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows 和 macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows 和 macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows 和 macOS 2
Windows
macOS

注意:

如之前的公告中所述,对 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的支持已于 2017 年 10 月 15 日终止。版本 11.0.23 是 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的最后一个版本。Adobe 强烈建议您更新到 Adobe Acrobat DC 和 Adobe Acrobat Reader DC 的最新版本。在将安装的产品更新到最新版本后,其最新的增强功能和改进的安全措施将为您带来极大的益处。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
重复释放
任意代码执行 关键 CVE-2018-12782
堆溢出
任意代码执行
关键 CVE-2018-5015、CVE-2018-5028、CVE-2018-5032、CVE-2018-5036、CVE-2018-5038、CVE-2018-5040、CVE-2018-5041、CVE-2018-5045、CVE-2018-5052、CVE-2018-5058、CVE-2018-5067、CVE-2018-12785、CVE-2018-12788、CVE-2018-12798
释放后重用 
任意代码执行
关键 CVE-2018-5009、CVE-2018-5011、CVE-2018-5065、CVE-2018-12756、CVE-2018-12770、CVE-2018-12772、CVE-2018-12773、CVE-2018-12776、CVE-2018-12783、CVE-2018-12791、CVE-2018-12792、CVE-2018-12796、CVE-2018-12797
越界写入 
任意代码执行
关键 CVE-2018-5020、CVE-2018-5021、CVE-2018-5042、CVE-2018-5059、CVE-2018-5064、CVE-2018-5069、CVE-2018-5070、CVE-2018-12754、CVE-2018-12755、CVE-2018-12758、CVE-2018-12760、CVE-2018-12771、CVE-2018-12787
安全旁路 权限提升
关键
CVE-2018-12802
越界读取 信息泄露 重要 CVE-2018-5010、CVE-2018-12803、CVE-2018-5014、CVE-2018-5016、CVE-2018-5017、CVE-2018-5018、CVE-2018-5019、CVE-2018-5022、CVE-2018-5023、CVE-2018-5024、CVE-2018-5025、CVE-2018-5026、CVE-2018-5027、CVE-2018-5029、CVE-2018-5031、CVE-2018-5033、CVE-2018-5035、CVE-2018-5039、CVE-2018-5044、CVE-2018-5046、CVE-2018-5047、CVE-2018-5048、CVE-2018-5049、CVE-2018-5050、CVE-2018-5051、CVE-2018-5053、CVE-2018-5054、CVE-2018-5055、CVE-2018-5056、CVE-2018-5060、CVE-2018-5061、CVE-2018-5062、CVE-2018-5063、CVE-2018-5066、CVE-2018-5068、CVE-2018-12757、CVE-2018-12761、CVE-2018-12762、CVE-2018-12763、CVE-2018-12764、CVE-2018-12765、CVE-2018-12766、CVE-2018-12767、CVE-2018-12768、CVE-2018-12774、CVE-2018-12777、CVE-2018-12779、CVE-2018-12780、CVE-2018-12781、CVE-2018-12786、CVE-2018-12789、CVE-2018-12790、CVE-2018-12795
类型混淆 任意代码执行 关键 CVE-2018-5057、CVE-2018-12793、CVE-2018-12794
不受信任的指针解除引用  任意代码执行 关键 CVE-2018-5012、CVE-2018-5030
缓冲区错误
任意代码执行 关键 CVE-2018-5034、CVE-2018-5037、CVE-2018-5043、CVE-2018-12784

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 来自 Palo Alto Networks 的 Gal De Leon(CVE-2018-5009、CVE-2018-5066)

  • 通过 Trend Micro(趋势科技)的 Zero Day Initiative 匿名报告(CVE-2018-12770、CVE-2018-12771、CVE-2018-12772、CVE-2018-12773、CVE-2018-12774、CVE-2018-12776、CVE-2018-12777、CVE-2018-12779、CVE-2018-12780、CVE-2018-12781、CVE-2018-12783、CVE-2018-12795、CVE-2018-12797)

  • 来自腾讯电脑管家并参与 Trend Micro(趋势科技)Zero Day Initiative 的 willJ(CVE-2018-5058、CVE-2018-5063、CVE-2018-5065)

  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Steven Seeley(CVE-2018-5012、CVE-2018-5030、CVE-2018-5033、CVE-2018-5034、CVE-2018-5035、CVE-2018-5059、CVE-2018-5060、CVE-2018-12793、CVE-2018-12796)

  • 来自腾讯玄武实验室并参与 Trend Micro(趋势科技)Zero Day Initiative 的 Ke Liu(CVE-2018-12803、CVE-2018-5014、CVE-2018-5015、CVE-2018-5016、CVE-2018-5017、CVE-2018-5018、CVE-2018-5019、CVE-2018-5027、CVE-2018-5028、CVE-2018-5029、CVE-2018-5031、CVE-2018-5032、CVE-2018-5055、CVE-2018-5056、CVE-2018-5057)

  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Sebastian Apelt siberas (CVE-2018-12794)

  • 来自奇虎 360 成都分公司的 Zhiyuan Wang (CVE-2018-12758)

  • 来自北京航空航天大学的 Lin Wang(CVE-2018-5010、CVE-2018-5020、CVE-2018-12760、CVE-2018-12761、CVE-2018-12762、CVE-2018-12763、CVE-2018-12787、CVE-2018-5067)

  • 来自奇虎 360 Vulcan 团队的 Zhenjie Jia (CVE-2018-12757)

  • 来自 Check Point Software Technologies 的 Netanel Ben Simon 和 Yoav Alon(CVE-2018-5063、CVE-2018-5064、CVE-2018-5065、CVE-2018-5068、CVE-2018-5069、CVE-2018-5070、CVE-2018-12754、CVE-2018-12755、CVE-2018-12764、CVE-2018-12765、CVE-2018-12766、CVE-2018-12767)CVE-2018-12768)

  • 来自思科 Talos 团队的 Aleksandar Nikolic (CVE-2018-12756)

  • 来自卡巴斯基实验室的 Vladislav Stolyarov (CVE-2018-5011)

  • 来自腾讯玄武实验室的 Ke Liu(CVE-2018-12785、CVE-2018-12786)

  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Kdot(CVE-2018-5036、CVE-2018-5037、CVE-2018-5038、CVE-2018-5039、CVE-2018-5040、CVE-2018-5041、CVE-2018-5042、CVE-2018-5043、CVE-2018-5044、CVE-2018-5045、CVE-2018-5046、CVE-2018-5047、CVE-2018-5048、CVE-2018-5049、CVE-2018-5050、CVE-2018-5051、CVE-2018-5052、CVE-2018-5053、CVE-2018-5054、CVE-2018-5020)

  • 来自 Trend Micro(趋势科技)并参与 Trend Micro Zero Day Initiative 的 Pengsu Cheng(CVE-2018-5061、CVE-2018-5067、CVE-2018-12790、CVE-2018-5056)

  • 参与 Trend Micro(趋势科技)Zero Day Initiative 的 Ron Waisberg(CVE-2018-5062、CVE-2018-12788、CVE-2018-12789)

  • 来自 Source Incite 公司并参与 iDefense 实验室项目的 Steven Seeley (mr_me)(CVE-2018-12791、CVE-2018-12792、CVE-2018-5015)

  • iDefense 实验室(CVE-2018-12798)

  • 来自中国科学院软件研究所 TCA/SKLCS 实验室的 Xu Peng 和来自百度安全实验室的 Huang Zheng (CVE-2018-12782)

  • 匿名报告(CVE-2018-12784、CVE-2018-5009)

  • 来自 Source Incite 公司并参与 Trend Micro(趋势科技)Zero Day Initiative 的 mr_me (CVE-2018-12761)

  • 来自 Palo Alto Networks 公司的 Zhanglin He 和 Bo Qu(CVE-2018-5023、CVE-2018-5024)

  • 来自 Palo Alto Networks 公司的 Bo Qu 和来自知道创宇 404 安全团队的 Heige(CVE-2018-5021、CVE-2018-5022、CVE-2018-5025、CVE-2018-5026)