Naposledy aktualizováno
14. 1. 2022
Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB17-24
|
Datum zveřejnění |
Priorita |
|
|---|---|---|
|
APSB17-24 |
8. srpna 2017 |
2 |
Shrnutí
Postižené verze
Další informace o aplikaci Acrobat DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat DC.
Další informace o aplikaci Acrobat Reader DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat Reader DC.
Řešení
Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže
uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:
- Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
- Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
- Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.
Pro správce IT (spravovaná prostředí):
- Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
- Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM
pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
| Produkt | Aktualizované verze | Platforma | Úroveň priority | Dostupnost |
|---|---|---|---|---|
| Acrobat DC (nepřetržitá vývojová větev) | 2017.012.20098 |
Windows a Macintosh | 2 | Windows Macintosh |
| Acrobat Reader DC (nepřetržitá vývojová větev) | 2017.012.20098 | Windows a Macintosh | 2 | Centrum stahování |
| Acrobat 2017 | 2017.011.30066 | Windows a Macintosh | 2 | Windows Macintosh |
| Acrobat Reader 2017 | 2017.011.30066 | Windows a Macintosh | 2 | Windows Macintosh |
| Acrobat DC (klasická vývojová větev) | 2015.006.30355 |
Windows a Macintosh |
2 | Windows Macintosh |
| Acrobat Reader DC (klasická vývojová větev) | 2015.006.30355 |
Windows a Macintosh | 2 | Windows Macintosh |
| Acrobat XI | 11.0.21 | Windows a Macintosh | 2 | Windows Macintosh |
| Reader XI | 11.0.21 | Windows a Macintosh | 2 | Windows Macintosh |
Poznámka:
Pro uživatele, kteří se potýkali s funkční regresí ve formulářích XFA, jež přišla s verzí 11.0.21, byla vydána verze 11.0.22 (podrobnosti naleznete zde). Verze 11.0.22 a 11.0.21 řeší všechny chyby zabezpečení uvedené v tomto bulletinu.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Čísla CVE |
|---|---|---|---|
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-3016 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-3038 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-3113 |
| Nedostatečné ověření autentičnosti dat | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-3115 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-3116 |
| Přetečení haldy | Vzdálené spuštění kódu | Kritická | CVE-2017-3117 |
| Překonání prvků zabezpečení | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-3118 |
| Poškození paměti | Vzdálené spuštění kódu | Důležité | CVE-2017-3119 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-3120 |
| Přetečení haldy | Vzdálené spuštění kódu | Kritická | CVE-2017-3121 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-3122 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-3123 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-3124 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11209 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11210 |
| Přetečení haldy | Vzdálené spuštění kódu | Kritická | CVE-2017-11211 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11212 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11214 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11216 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11217 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-11218 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-11219 |
| Přetečení haldy | Vzdálené spuštění kódu | Kritická | CVE-2017-11220 |
| Záměna typu | Vzdálené spuštění kódu | Kritická | CVE-2017-11221 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11222 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-11223 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-11224 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11226 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11227 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11228 |
| Překonání prvků zabezpečení | Vzdálené spuštění kódu | Důležité | CVE-2017-11229 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11230 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-11231 |
| Použití paměti po uvolnění | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11232 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11233 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11234 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-11235 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11236 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11237 |
| Poškození paměti | Neoprávněné zveřejnění informací | Kritická | CVE-2017-11238 |
| Poškození paměti | Neoprávněné zveřejnění informací | Kritická | CVE-2017-11239 |
| Přetečení haldy | Vzdálené spuštění kódu | Kritická | CVE-2017-11241 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11242 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11243 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11244 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11245 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11246 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11248 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11249 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11251 |
| Poškození paměti | Neoprávněné zveřejnění informací | Kritická | CVE-2017-11252 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Důležité | CVE-2017-11254 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11255 |
| Použití paměti po uvolnění | Vzdálené spuštění kódu | Kritická | CVE-2017-11256 |
| Záměna typu | Vzdálené spuštění kódu | Kritická | CVE-2017-11257 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11258 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11259 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11260 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11261 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11262 |
| Poškození paměti | Vzdálené spuštění kódu | Důležité | CVE-2017-11263 |
| Poškození paměti | Neoprávněné zveřejnění informací | Důležitá | CVE-2017-11265 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11267 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11268 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11269 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11270 |
| Poškození paměti | Vzdálené spuštění kódu | Kritická | CVE-2017-11271 |
Poznámka:
Chyba CVE-2017-3038 byla vyřešena ve verzích 2017.009.20044 a 2015.006.30306 (vydání z dubna 2017), ale ve verzi 11.0.20 byla oprava neúplná. Tato chyba zabezpečení byla zcela vyřešena ve verzi 11.0.21 (vydání ze srpna 2017).
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
- @vftable spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11211, CVE-2017-11251)
- Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2017-11263)
- Alex Infuhr ze společnosti Cure 53 (CVE-2017-11229)
- Ashfaq Ansari z Project Srishti (CVE-2017-11221)
- Ashfaq Ansari z Project Srishti spolupracující s programem iDefense Vulnerability Contributor Program (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- Anonymní hlášení přes iniciativu Zero Day Initiative společnosti Trend Micro (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Fernando Munoz spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-3115)
- Giwan Go ze společnosti STEALIEN & HIT spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11228, CVE-2017-11230)
- Heige (a.k.a. SuperHei) z týmu Knwonsec 404 Team (CVE-2017-11222)
- Jaanus Kääp ze společnosti Clarified Security spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Jaanus Kääp ze společnosti Clarified Security spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro a Ashfaq Ansari z Project Srishti spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11231)
- Jihui Lu z laboratoře KeenLab společnosti Tencent (CVE-2017-3119)
- kdot spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro a Steven Seeley (mr_me) ze společnosti Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Siberas spolupracující s programem SecuriTeam Secure Disclosure Program společnosti Beyond Security (CVE-2017-11254)
- Richard Warren (CVE-2017-3118)
- riusksk z oddělení bezpečnostní platformy společnosti Tencent (CVE-2017-3016)
- Sebastian Apelt ze společnosti siberas spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Steven Seeley (mr_me) ze společnosti Offensive Security spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Steven Seeley spolupracující s programem SecuriTeam Secure Disclosure Program společnosti Beyond Security (CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226
- Toan Pham (CVE-2017-3116)
Revize
29 srpna·2017: Tabulka řešení byla aktualizována a nyní uvádí nové verze, které byly dostupné 29. srpna. Tyto aktualizace řeší funkční regresi u formulářů XFA, která postihla některé uživatele. Verze z 29. srpna také řeší chybu zabezpečení CVE-2017-11223.
Chyba zabezpečení CVE-2017-11223 byla původně opravena v aktualizacích z 8. srpna (verze 2017.012.20093, 2017.011.30059 a 2015.006.30352), avšak v důsledku funkční regrese v těchto verzích byly vydány dočasné opravy hotfix, které opravu chyby CVE-2017-11223 odstranily. Verze z 29. srpna řeší problém s regresí a opravují chybu zabezpečení CVE-2017-11223. Podrobnosti naleznete v tomto příspěvku na blogu.
