Adobe Acrobat 和 Reader 安全公告 | APSB18-41
公告 ID 发布日期 优先级
APSB18-41 2018 年 12 月 11 日 2

摘要

Adobe 已为 Adobe Acrobat 和 Reader 的 Windows 和 MacOS 版发布了安全更新。这些更新可修补关键漏洞和重要漏洞。如果成功利用这些漏洞,可能会导致在当前用户的上下文中出现任意代码执行。

受影响的版本

产品 追踪 受影响的版本 平台
Acrobat DC  Continuous
2019.008.20081 和更早版本 
Windows 
Acrobat DC  Continuous 2019.008.20080 及更早版本 macOS
Acrobat Reader DC Continuous
2019.008.20081 和更早版本 Windows
Acrobat Reader DC Continuous 2019.008.20080 及更早版本 macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 及更早版本 Windows
Acrobat 2017 Classic 2017 2017.011.30105 及更早版本 macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 及更早版本 Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 及更早版本 macOS
       
Acrobat DC  Classic 2015 2015.006.30457 和更早版本  Windows
Acrobat DC  Classic 2015 2015.006.30456 及更早版本  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 和更早版本  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 及更早版本  macOS

解决方案

Adobe 建议用户按照以下说明将其安装的软件更新至最新版本。
终端用户可通过以下一种方式,获取最新的产品版本:

  • 用户可以通过选择“帮助”>“检查更新”,手动更新他们的产品安装。
  • 产品将在检测到更新时自动更新,而无须用户干预。
  • 完整的 Acrobat Reader 安装程序可从 Acrobat Reader 下载中心下载。

对于 IT 管理员(托管环境):

  • ftp://ftp.adobe.com/pub/adobe/ 下载企业版安装程序,或参阅特定发行说明版本,以获取安装程序链接。
  • 通过您的首选方法安装更新,例如 AIP-GPO、bootstrapper、SCUP/SCCM (Windows),或者 Apple Remote Desktop 和 SSH (macOS)。

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本:

产品 追踪 更新后的版本 平台 优先级等级 获取途径
Acrobat DC Continuous 2019.010.20064 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC Continuous 2019.010.20064
Windows 和 macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows 和 macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows 和 macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows 和 macOS 2 Windows

macOS

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号

缓冲区错误

 

任意代码执行

 

关键

 

CVE-2018-15998

CVE-2018-15987

 

不受信任的指针解除引用

 

任意代码执行

 

 

 

关键

 

 

CVE-2018-16004

CVE-2018-19720

安全旁路

 

权限提升

 

关键

 

 

 

CVE-2018-16045

CVE-2018-16044

CVE-2018-16018

 

 

释放后使用

 

 

 

 

任意代码执行

 

 

 

 

关键

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16011

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

越界写入 

 

 

 

 

任意代码执行

 

 

 

 

关键

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

堆溢出

 

 

 

 

任意代码执行

 

 

 

 

关键

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

越界读取

 

 

 

 

信息泄露

 

 

 

 

重要

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

整数溢出

 

信息泄露

 

 

 

重要

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

安全旁路 信息泄露 重要 CVE-2018-16042

致谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • 通过 Trend Micro(趋势科技)“Zero Day Initiative”计划的匿名人士报告(CVE-2018-16029、CVE-2018-16027、CVE-2018-16025、CVE-2018-15997、CVE-2018-15992)

  • 来自腾讯宣武实验室的 Ke Liu(CVE-2018-19706、CVE-2018-19705、CVE-2018-19704、CVE-2018-19703、CVE-2018-19702、CVE-2018-16035、CVE-2018-16020、CVE-2018-16019、CVE-2018-16016、CVE-2018-16015、CVE-2018-16013、CVE-2018-15990、CVE-2018-15988)。

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 kdot(CVE-2018-19712、CVE-2018-19711、CVE-2018-16030、CVE-2018-16028、CVE-2018-16012、CVE-2018-16002、CVE-2018-16001、CVE-2018-15996)

  • 来自 Source Incite 并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Esteban Ruiz (mr_me)(CVE-2018-16026、CVE-2018-15994、CVE-2018-15993、CVE-2018-15991、CVE-2018-16008)

  • 来自 NSFOCUS 安全团队的 Du pingxin(CVE-2018-16022、CVE-2018-16021、CVE-2018-16017、CVE-2018-16000、CVE-2018-15999)

  • 来自北京航空航天大学并参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Lin Wang (CVE-2018-16014)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 guyio(CVE-2018-16024、CVE-2018-16023、CVE-2018-15995)

  • 来自 Trend Micro(趋势科技)安全研究团队并参与“Zero Day Initiative”计划的 Pengsu Cheng (CVE-2018-15985)

  • 来自中国科学院软件研究所 TCA/SKLCS 实验室的 Xu Peng 和来自百度安全实验室的 Huang Zheng (CVE-2018-12830)

  • 来自奇虎 360 Vulcan Team 的 Linan Hao 和 Zhenjie Jia (CVE-2018-16041)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Steven Seeley (CVE-2018-16008)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Roderick Schaefer (CVE-2018-19713)

  • 来自北京航空航天大学的 Lin Wang(CVE-2018-15998、CVE-2018-15989、CVE-2018-15987、CVE-2018-15986、CVE-2018-15984)

  • 来自波鸿鲁尔大学的 Vladislav Mladenov、Christian Mainka、Karsten Meyer zu Selhausen、Martin Grothe、Jorg Schwenk (CVE-2018-16042)

  • 来自思科 Talos 团队的 Aleksandar Nikolic (CVE-2018-19716)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Kamlapati Choubey (CVE-2018-19714)

  • 参与 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Sebastian Apelt (@bitshifter123)(CVE-2018-16010、CVE-2018-16003、CVE-2018-16044、CVE-2018-19720、CVE-2018-19719)

  • 特别感谢来自 Trend Micro(趋势科技)“Zero Day Initiative”计划的 Abdul Aziz Hariri 对加强 JavaScript API 限制绕过的深度防御所做出的贡献 (CVE-2018-16018)

  • 特别感谢来自“Zero Day Initiative”计划的 AbdulAziz Hariri 与 Sebastian Apelt 对降低 Onix 索引攻击面的深度防御所做出的贡献(CVE-2018-16004、CVE-2018-16005、CVE-2018-16007、CVE-2018-16009、CVE-2018-16043、CVE-2018-16045、CVE-2018-16046)

  • 来自派拓网络的 Qi Deng(CVE-2018-16033、CVE-2018-16032、CVE-2018-16031)

  • 来自派拓网络的 Zhibin Zhang(CVE-2018-16037、CVE-2018-16036、CVE-2018-16034)

  • 来自派拓网络的 Hui Gao 和 Qi Deng(CVE-2018-19698、CVE-2018-16047、CVE-2018-16040、CVE-2018-16038)

  • 来自派拓网络的 Hui Gao 和 Zhibin Zhang(CVE-2018-19710、CVE-2018-19709、CVE-2018-19707、CVE-2018-19700、CVE-2018-19699)

  • 来自派拓网络的 Bo Qu 和来自 Knownsec 404 安全团队的 Heige(CVE-2018-19717、CVE-2018-19715、CVE-2018-19708、CVE-2018-19701、CVE-2018-16039)