Adobe Acrobat 和 Reader 安全公告 | APSB18-30
公告 ID 发布日期 优先级
APSB18-30 2018 年 10 月 01 日 2

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 MacOS 版发布了安全更新。这些更新可修补关键漏洞和重要漏洞。如果成功利用这些漏洞,可能会导致在当前用户的上下文中出现任意代码执行。

受影响的版本

产品 追踪 受影响的版本 平台 优先级
Acrobat DC  Continuous
2018.011.20063 及更早版本 
Windows 和 macOS 2
Acrobat Reader DC Continuous
2018.011.20063 及更早版本 
Windows 和 macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 及更早版本 Windows 和 macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 及更早版本 Windows 和 macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 及更早版本
Windows 和 macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 及更早版本
Windows 和 macOS 2

有关 Acrobat DC 的问题,请访问 Acrobat DC 常见问题解答页面

有关 Acrobat Reader DC 的问题,请访问 Acrobat Reader DC 常见问题解答页面。

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无须用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或者 Apple Remote Desktop 和 SSH (macOS)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 追踪 更新后的版本 平台 优先级等级 获取途径
Acrobat DC Continuous 2019.008.20071
Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC Continuous 2019.008.20071
Windows 和 macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows 和 macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows 和 macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows 和 macOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows 和 macOS 2
Windows
macOS

注意:

如之前的公告中所述,对 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的支持已于 2017 年 10 月 15 日终止。版本 11.0.23 是 Adobe Acrobat 11.x 和 Adobe Reader 11.x 的最后一个版本。Adobe 强烈建议您更新到 Adobe Acrobat DC 和 Adobe Acrobat Reader DC 的最新版本。在将安装的产品更新到最新版本后,其最新的增强功能和改进的安全措施将为您带来极大的益处。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
越界写入 
任意代码执行
关键

CVE-2018-15955、

CVE-2018-15954、

CVE-2018-15952、

CVE-2018-15945、

CVE-2018-15944、

CVE-2018-15941、

CVE-2018-15940、

CVE-2018-15939、

CVE-2018-15938、

CVE-2018-15936、

CVE-2018-15935、

CVE-2018-15934、

CVE-2018-15933、

CVE-2018-15929、

CVE-2018-15928、

CVE-2018-12868、

CVE-2018-12865、

CVE-2018-12864、

CVE-2018-12862、

CVE-2018-12861、

CVE-2018-12860、

CVE-2018-12759

越界读取 信息泄露 重要

CVE-2018-15956、

CVE-2018-15953、

CVE-2018-15950、

CVE-2018-15949、

CVE-2018-15948、

CVE-2018-15947、

CVE-2018-15946、

CVE-2018-15943、

CVE-2018-15942、

CVE-2018-15932、

CVE-2018-15927、

CVE-2018-15926、

CVE-2018-15925、

CVE-2018-15923、

CVE-2018-15922、

CVE-2018-12880、

CVE-2018-12879、

CVE-2018-12878、

CVE-2018-12875、

CVE-2018-12874、

CVE-2018-12873、

CVE-2018-12872、

CVE-2018-12871、

CVE-2018-12870、

CVE-2018-12869、

CVE-2018-12867、

CVE-2018-12866、

CVE-2018-12859、

CVE-2018-12857、

CVE-2018-12856、

CVE-2018-12845、

CVE-2018-12844、

CVE-2018-12843、

CVE-2018-12839、

CVE-2018-12834、

CVE-2018-15968、

CVE-2018-15921

堆溢出

任意代码执行

关键

 

CVE-2018-12851、

CVE-2018-12847、

CVE-2018-12846、

CVE-2018-12837、

CVE-2018-12836、

CVE-2018-12833、

CVE-2018-12832

释放后使用

任意代码执行

关键

 

CVE-2018-15924、

CVE-2018-15920、

CVE-2018-12877、

CVE-2018-12863、

CVE-2018-12852、

CVE-2018-12831、

CVE-2018-12769

CVE-2018-15977

类型混淆

任意代码执行

关键

 

CVE-2018-12876、

CVE-2018-12858、

CVE-2018-12835

堆栈溢出

信息泄露

重要

CVE-2018-12838

重复释放

任意代码执行

关键

 

CVE-2018-12841

整数溢出

信息泄露

重要

CVE-2018-12881、

CVE-2018-12842

缓冲区错误

任意代码执行

关键

 

CVE-2018-15951、

CVE-2018-12855、

CVE-2018-12853

不受信任的指针解除引用

任意代码执行

关键

 

CVE-2018-15937、

CVE-2018-15931、

CVE-2018-15930

安全旁路

权限提升

关键

CVE-2018-15966

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的匿名人士 (CVE-2018-12851)
  • 奇虎 360 科技有限公司成都安全响应中心的 Zhiyuan Wang(CVE-2018-12841、CVE-2018-12838、CVE-2018-12833)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 willJ(CVE-2018-12856、CVE-2018-12855)
  • 来自 Siberas 公司并参与 Trend Micro(趋势科技)Zero Day Initiative 的 Sebastian Apelt(CVE-2018-12858)
  • 来自北京航空航天大学并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Lin Wang(CVE-2018-12876、CVE-2018-12868)
  • 来自 Source Incite 公司并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Esteban Ruiz (mr_me)(CVE-2018-12879、CVE-2018-12877)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Kamlapati Choubey(CVE-2018-15948、CVE-2018-15946、CVE-2018-12842)
  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Ron Waisberg(CVE-2018-15950、CVE-2018-15949、CVE-2018-15947)
  • 来自 Cisco Talos(思科安全情报与研究小组)的 Aleksandar Nikolic。(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • 来自北京航空航天大学的 Lin Wang(CVE-2018-15951、CVE-2018-12881、CVE-2018-12880、CVE-2018-12845、CVE-2018-12844、CVE-2018-12843、CVE-2018-12759)
  • 来自派拓网络的 Gal De Leon(CVE-2018-15920、CVE-2018-12846、CVE-2018-12836、CVE-2018-12832、CVE-2018-12769、CVE-2018-15921)
  • 来自奇虎 360 Vulcan(伏尔甘)团队的 Zhenjie Jia (CVE-2018-12831)
  • 来自派拓网络的 Hui Gao 和来自知道创宇 404 安全团队的 Heige(也称作 SuperHei)(CVE-2018-15925、CVE-2018-15924、CVE-2018-15968)
  • 来自派拓网络的 Bo Qu 和 Zhibin Zhang(CVE-2018-15923、CVE-2018-15922)
  • 来自派拓网络的 Qi Deng 和来自知道创宇 404 安全团队的 Heige(也称作 SuperHei)(CVE-2018-15977)
  • 来自 Source Incite 公司并参与 iDefense 实验室项目的 Esteban Ruiz (mr_me) (CVE-2018-12835)
  • Ashfaq Ansari - 与 iDefense Labs 合作的 Srishti 计划 (CVE-2018-15968)
  • 来自 Check Point Software Technologies 的 Netanel Ben-Simon 和 Yoav Alon(CVE-2018-15956、CVE-2018-15955、CVE-2018-15954、CVE-2018-15953、CVE-2018-15952、CVE-2018-15938、CVE-2018-15937、CVE-2018-15936、CVE-2018-15935、CVE-2018-15934、CVE-2018-15933、CVE-2018-15932、CVE-2018-15931、CVE-2018-15930、CVE-2018-15929、CVE-2018-15928、CVE-2018-15927、CVE-2018-12875、CVE-2018-12874、CVE-2018-12873、CVE-2018-12872、CVE-2018-12871、CVE-2018-12870、CVE-2018-12869、CVE-2018-12867、CVE-2018-12866、CVE-2018-12865、CVE-2018-12864、CVE-2018-12863、CVE-2018-12862、CVE-2018-12861、CVE-2018-12860、CVE-2018-12859、CVE-2018-12857、CVE-2018-12839)
  • 来自腾讯安全玄武实验室的 Ke Liu(CVE-2018-15945、CVE-2018-15944、CVE-2018-15943、CVE-2018-15942、CVE-2018-15941、CVE-2018-15940、CVE-2018-15939、CVE-2018-15926、CVE-2018-12878、CVE-2018-12837、CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • 来自腾讯玄武实验室的 Wei Wei (@Danny__Wei) (CVE-2018-15966)