Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB17-24
ID bulletinu Datum zveřejnění Priorita
APSB17-24 8. srpna 2017 2

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritickédůležité chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Tyto aktualizace řeší kritické chyby zabezpečení softwaru. Těmto aktualizacím bude společností Adobe přiřazena následující priorita:

Produkt Postižené verze Platforma
Acrobat DC (nepřetržitá vývojová větev) 2017.009.20058 a starší verze
Windows a Macintosh
Acrobat Reader DC (nepřetržitá vývojová větev) 2017.009.20058 a starší verze
Windows a Macintosh
     
Acrobat 2017 2017.008.30051 a starší verze Windows a Macintosh
Acrobat Reader 2017 2017.008.30051 a starší verze Windows a Macintosh
     
Acrobat DC (klasická vývojová větev) 2015.006.30306 a starší verze
Windows a Macintosh
Acrobat Reader DC (klasická vývojová větev) 2015.006.30306 a starší verze
Windows a Macintosh
     
Acrobat XI 11.0.20 a starší verze Windows a Macintosh
Reader XI 11.0.20 a starší verze Windows a Macintosh

Další informace o aplikaci Acrobat DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat DC.

Další informace o aplikaci Acrobat Reader DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže
uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM
    pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC (nepřetržitá vývojová větev) 2017.012.20098
Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader DC (nepřetržitá vývojová větev) 2017.012.20098 Windows a Macintosh 2 Středisko stahování
         
Acrobat 2017 2017.011.30066 Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows a Macintosh 2 Windows
Macintosh
         
Acrobat DC (klasická vývojová větev) 2015.006.30355
Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC (klasická vývojová větev) 2015.006.30355 
Windows a Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows a Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows a Macintosh 2 Windows
Macintosh

Poznámka:

Pro uživatele, kteří se potýkali s funkční regresí ve formulářích XFA, jež přišla s verzí 11.0.21, byla vydána verze 11.0.22 (podrobnosti naleznete zde).  Verze 11.0.22 a 11.0.21 řeší všechny chyby zabezpečení uvedené v tomto bulletinu.    

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Čísla CVE
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-3016
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-3038
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-3113
Nedostatečné ověření autentičnosti dat Neoprávněné zveřejnění informací Důležité CVE-2017-3115
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-3116
Přetečení haldy Vzdálené spuštění kódu Kritická CVE-2017-3117
Překonání prvků zabezpečení Neoprávněné zveřejnění informací Důležité CVE-2017-3118
Poškození paměti Vzdálené spuštění kódu Důležité CVE-2017-3119
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-3120
Přetečení haldy Vzdálené spuštění kódu Kritická CVE-2017-3121
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-3122
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-3123
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-3124
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11209
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11210
Přetečení haldy Vzdálené spuštění kódu Kritická CVE-2017-11211
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11212
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11214
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11216
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11217
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-11218
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-11219
Přetečení haldy Vzdálené spuštění kódu Kritická CVE-2017-11220
Záměna typu Vzdálené spuštění kódu Kritická CVE-2017-11221
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11222
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-11223
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-11224
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11226
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11227
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11228
Překonání prvků zabezpečení Vzdálené spuštění kódu Důležité CVE-2017-11229
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11230
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-11231
Použití paměti po uvolnění Neoprávněné zveřejnění informací Důležité CVE-2017-11232
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11233
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11234
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-11235
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11236
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11237
Poškození paměti Neoprávněné zveřejnění informací Kritická CVE-2017-11238
Poškození paměti Neoprávněné zveřejnění informací Kritická CVE-2017-11239
Přetečení haldy Vzdálené spuštění kódu Kritická CVE-2017-11241
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11242
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11243
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11244
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11245
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11246
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11248
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11249
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11251
Poškození paměti Neoprávněné zveřejnění informací Kritická CVE-2017-11252
Použití paměti po uvolnění Vzdálené spuštění kódu Důležité CVE-2017-11254
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11255
Použití paměti po uvolnění Vzdálené spuštění kódu Kritická CVE-2017-11256
Záměna typu Vzdálené spuštění kódu Kritická CVE-2017-11257
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11258
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11259
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11260
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11261
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11262
Poškození paměti Vzdálené spuštění kódu Důležité CVE-2017-11263
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2017-11265
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11267
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11268
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11269
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11270
Poškození paměti Vzdálené spuštění kódu Kritická CVE-2017-11271

Poznámka:

Chyba CVE-2017-3038 byla vyřešena ve verzích 2017.009.20044 a 2015.006.30306 (vydání z dubna 2017), ale ve verzi 11.0.20 byla oprava neúplná.  Tato chyba zabezpečení byla zcela vyřešena ve verzi 11.0.21 (vydání ze srpna 2017).  

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • @vftable spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2017-11263)
  • Alex Infuhr ze společnosti Cure 53 (CVE-2017-11229)
  • Ashfaq Ansari z Project Srishti (CVE-2017-11221)
  • Ashfaq Ansari z Project Srishti spolupracující s programem iDefense Vulnerability Contributor Program (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Anonymní hlášení přes iniciativu Zero Day Initiative společnosti Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernando Munoz spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-3115)
  • Giwan Go ze společnosti STEALIEN & HIT spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11228, CVE-2017-11230)
  • Heige (a.k.a. SuperHei) (CVE-2017-11222)
  • Jaanus Kääp ze společnosti Clarified Security spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kääp ze společnosti Clarified Security spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro a Ashfaq Ansari z Project Srishti spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11231)
  • Jihui Lu z laboratoře KeenLab společnosti Tencent (CVE-2017-3119)
  • kdot spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro a Steven Seeley (mr_me) ze společnosti Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • Siberas spolupracující s programem SecuriTeam Secure Disclosure Program společnosti Beyond Security (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk z oddělení bezpečnostní platformy společnosti Tencent (CVE-2017-3016)
  • Sebastian Apelt ze společnosti siberas spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Steven Seeley (mr_me) ze společnosti Offensive Security spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Steven Seeley spolupracující s programem SecuriTeam Secure Disclosure Program společnosti Beyond Security (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226
  • Toan Pham (CVE-2017-3116)

Verze

29 srpna·2017: Tabulka řešení byla aktualizována a nyní uvádí nové verze, které byly dostupné 29. srpna.  Tyto aktualizace řeší funkční regresi u formulářů XFA, která postihla některé uživatele.  Verze z 29. srpna také řeší chybu zabezpečení CVE-2017-11223.  

Chyba zabezpečení CVE-2017-11223 byla původně opravena v aktualizacích z 8. srpna (verze 2017.012.20093, 2017.011.30059 a 2015.006.30352), avšak v důsledku funkční regrese v těchto verzích byly vydány dočasné opravy hotfix, které opravu chyby CVE-2017-11223 odstranily. Verze z 29. srpna řeší problém s regresí a opravují chybu zabezpečení CVE-2017-11223. Podrobnosti naleznete v tomto příspěvku na blogu