Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader

Datum vydání: 6. dubna 2017

Poslední aktualizace: 11. května 2017

Identifikátor chyby zabezpečení: APSB17-11

Priorita: 2

Čísla CVE: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Platforma: Windows a Macintosh

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC Průběžně 15.023.20070 a starší verze
Windows a Macintosh
Acrobat Reader DC Průběžně 15.023.20070 a starší verze
Windows a Macintosh
       
Acrobat DC Klasické 15.006.30280 a starší verze
Windows a Macintosh
Acrobat Reader DC Klasické 15.006.30280 a starší verze
Windows a Macintosh
       
Acrobat XI Počítač 11.0.19 a starší verze Windows a Macintosh
Reader XI Počítač 11.0.19 a starší verze Windows a Macintosh

Další informace o aplikaci Acrobat DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat DC.

Další informace o aplikaci Acrobat Reader DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.

Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM
    pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 2017.009.20044
Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader DC Průběžně 2017.009.20044
Windows a Macintosh 2 Středisko stahování
           
Acrobat DC Klasické 2015.006.30306
Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klasické 2015.006.30306 
Windows a Macintosh 2 Windows
Macintosh
           
Acrobat XI Počítač 11.0.20 Windows a Macintosh 2 Windows
Macintosh
Reader XI Počítač 11.0.20 Windows a Macintosh 2 Windows
Macintosh

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chyby zabezpečení umožňující využití paměti po uvolnění, které mohou vést ke spuštění kódu (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení části paměti haldy, které mohou vést ke spuštění kódu
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které může vést ke spuštění kódu
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení celého čísla, které mohou vést ke spuštění kódu (CVE-
    2017-3011, CVE-2017-3034).
  • Tyto aktualizace řeší chyby v zabezpečení spočívající v poškození paměti, které by mohly vést k úniku
    paměťové adresy (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Tyto aktualizace řeší chyby zabezpečení týkající se adresářových cest hledání používaných pro hledání prostředků,
    které by mohly umožnit spuštění kódu (CVE-2017-3012, CVE-2017-3013).

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Nicolas Gregoire ze společnosti Agarri spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3031)
  • Weizhong Qian, Fuhao Li a Huinian Yang of ART&UESTC's Neklab (CVE-2017-3037)
  • Anonymní hlášení přes program iDefense Vulnerability Contributor Program (VCP) (CVE-2017-3014,
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • riusksk spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3040)
  • LiuBenjin z týmu Qihoo360 CodeSafe spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Keen Team spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • AbdulAziz Hariri z iniciativy Zero Day Initiative společnosti Trend Micro a Steven Seeley (mr_me) ze společnosti Offensive Security spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro
    (CVE-2017-3042, CVE, CVE)
  • AbdulAziz Hariri z iniciativy Zero Day Initiative společnosti Trend Micro (-2017-, CVE-3043)
  • Ashfaq Ansari ze společnosti Project Srishti přes program iDefense Vulnerability Contributor Program (VCP) (CVE-2017-
    3038)
  • Steven Seeley (mr_me) ze společnosti Offensive Security (CVE-2017-3026, CVE-2017-3054)
  • kimyok z oddělení bezpečnostních platforem společnosti Tencent (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • kdot spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Steven Seeley (mr_me) ze společnosti Offensive Security spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro
    (CVE-2017-3047, CVE-2017-3049)
  • Steven Seeley (mr_me) ze společnosti Offensive Security spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro a Ke Liu z laboratoře Xuanwu LAB společnosti Tencent (CVE-2017-3050)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent (CVE-2017-3012, CVE-2017-3015)
  • soiax spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3022)
  • Sebastian Apelt ze společnosti Siberas, spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Jun Mao z týmu Tencent PC Manager přes GeekPwn (CVE-2017-3011)
  • Giwan Go ze společnosti STEALIEN spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Verze

27. dubna 2017: aktualizovány zásluhy u záznamu CVE-2017-3050, který byl omylem z původního bulletinu vypuštěn.

11. května 2017: aktualizovány zásluhy u záznamu CVE-2017-3040, který byl omylem z původního bulletinu vypuštěn.