Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader

Datum vydání: 5. ledna 2017

Naposledy aktualizováno: 30. března 2017

Identifikátor chyby zabezpečení: APSB17-01

Priorita: 2

Čísla CVE: CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2946, CVE-2017-2947, CVE-2017-2948, CVE-2017-2949, CVE-2017-2950, CVE-2017-2951, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2959, CVE-2017-2960, CVE-2017-2961, CVE-2017-2962, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966, CVE-2017-2967, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972, CVE-2017-3009, CVE-2017-3010

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC Průběžně 15.020.20042 a starší verze
Windows a Macintosh
Acrobat Reader DC Průběžně 15.020.20042 a starší verze
Windows a Macintosh
       
Acrobat DC Klasické 15.006.30244 a starší verze
Windows a Macintosh
Acrobat Reader DC Klasické 15.006.30244 a starší verze
Windows a Macintosh
       
Acrobat XI Počítač 11.0.18 a starší verze Windows a Macintosh
Reader XI Počítač 11.0.18 a starší verze Windows a Macintosh

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC. V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace. 
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací. 
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání. 
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 15.023.20053
Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader DC Průběžně 15.023.20053
Windows a Macintosh 2 Středisko stahování
           
Acrobat DC Klasické 15.006.30279
Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasické 15.006.30279
Windows a Macintosh 2 Windows
Macintosh
           
Acrobat XI Počítač 11.0.19 Windows a Macintosh 2 Windows
Macintosh
Reader XI Počítač 11.0.19 Windows a Macintosh 2 Windows
Macintosh

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chybu zabezpečení spočívající v záměně typu, která může vést ke spuštění kódu (CVE-2017-2962).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v možnosti použití paměti po uvolnění, která může vést ke spuštění kódu (CVE-2017-2950, CVE-2017-2951, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2961).
  • Tyto aktualizace odstraňují chyby zabezpečení spojené s přetečením na haldě, které mohou vést ke spuštění kódu (CVE-2017-2942, CVE-2017-2945, CVE-2017-2946, CVE-2017-2949, CVE-2017-2959, CVE-2017-2966, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení vyrovnávací paměti, které mohou vést ke spuštění kódu (CVE-2017-2948, CVE-2017-2952).
  • Tyto aktualizace řeší chyby v zabezpečení spočívající v poškození paměti, které by mohly vést ke spuštění kódu (CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2943, CVE-2017-2944, CVE-2017-2953, CVE-2017-2954, CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2967, CVE-2017-3010).
  • Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení (CVE-2017-2947).
  • Tyto aktualizace řeší chybu zabezpečení týkající se přetečení vyrovnávací paměti, která může vést k odhalení informací (CVE-2017-3009).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Jaanus Kääp ze společnosti Clarified Security a anonym spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-2939)
  • Kelvin Wang ze společnosti Tencent PC Manager (CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958)
  • Steven Seeley ze společnosti Source Incite spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro aKushal Arvind Shah ze společnosti Fortinet's FortiGuard Labs (CVE-2017-2946)
  • Sebastian Apelt ze společnosti Siberas spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-2961, CVE-2017-2967)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent (CVE-2017-2940, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2972)
  • kdot spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-2941, CVE-2017-3009)
  • Nicolas Grégoire ze společnosti Agarri spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-2962)
  • Nicolas Grégoire ze společnosti Agarri spolupracující v rámci programu iDefense Vulnerability Contributor Program (CVE-2017-2948)
  • Anonym spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-2951, CVE-2017-2970)
  • Anonym spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro a anonym spolupracující se společností iDefense (CVE-2017-2950)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro a riusksk (泉哥) z oddělení pro zabezpečení platformy ve společnosti Tencent (CVE-2017-2959)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966)
  • Wei Lei a Liu Yang z univerzity Nanyang Technological University, anonym spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro a Nicolas Grégoire ze společnosti Agarri spolupracující v programu iDefense Vulnerability Contributor (CVE-2017-2949)
  • Alex Inführ ze společnosti Cure53.de (CVE-2017-2947)
  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2017-2971)
  • Kushal Arvind Shah a Peixue Li z laboratoře FortiGuard Labs společnosti Fortinet (CVE-2017-3010)

Verze

20. ledna 2017: přidány reference na záznamy CVE-2017-2970, CVE-2017-2971 a CVE-2017-2972, které byly omylem z původního bulletinu vypuštěny.

16. února 2017: aktualizovány zásluhy u záznamu CVE-2017-2939, CVE-2017-2946, CVE-2017-2949, CVE-2017-2950 a CVE-2017-2959, které byly omylem z bulletinu vypuštěny.

30. března 2017: aktualizovány zásluhy u záznamu CVE-2017-3009 a CVE-2017-3010, které byly omylem z původního bulletinu vypuštěny.