Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB17-36
ID bulletinu Datum zveřejnění Priorita
APSB17-36 14. listopadu 2017 2

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a počítače Macintosh. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Postižené verze Platforma
Acrobat DC (nepřetržitá vývojová větev) 2017.012.20098 a starší verze
Windows a Macintosh
Acrobat Reader DC (nepřetržitá vývojová větev) 2017.012.20098 a starší verze
Windows a Macintosh
     
Acrobat 2017 2017.011.30066 a starší verze Windows a Macintosh
Acrobat Reader 2017 2017.011.30066 a starší verze Windows a Macintosh
     
Acrobat DC (klasická vývojová větev) 2015.006.30355 a starší verze
Windows a Macintosh
Acrobat Reader DC (klasická vývojová větev) 2015.006.30355 a starší verze
Windows a Macintosh
     
Acrobat XI 11.0.22 a starší verze Windows a Macintosh
Reader XI 11.0.22 a starší verze Windows a Macintosh

Další informace o aplikaci Acrobat DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat DC.

Další informace o aplikaci Acrobat Reader DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM
    pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC (nepřetržitá vývojová větev) 2018.009.20044
Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader DC (nepřetržitá vývojová větev) 2018.009.20044
Windows a Macintosh 2 Středisko stahování
         
Acrobat 2017 2017.011.30068 Windows a Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows a Macintosh 2 Windows
Macintosh
         
Acrobat DC (klasická vývojová větev) 2015.006.30392
Windows a Macintosh
2 Windows
Macintosh
Acrobat Reader DC (klasická vývojová větev) 2015.006.30392 
Windows a Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows a Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows a Macintosh 2 Windows
Macintosh

Poznámka:

Jak již bylo oznámeno v předchozím ohlášení, podpora aplikace Adobe Acrobat 11.x a Adobe Reader 11.x skončila k 15. říjnu 2017.  Verze 11.0.23 je konečnou verzí aplikace Adobe Acrobat 11.x a Adobe Reader 11.x.  Společnost Adobe důrazně doporučuje provést aktualizaci na nejnovější verzi aplikace Adobe Acrobat DC a Adobe Acrobat Reader DC. Po provedení aktualizace na nejnovější verzi budete moci využívat nejnovější funkce a lepší zabezpečení.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Přístup neinicializovaného pointeru Vzdálené spuštění kódu
Kritická CVE-2017-16377
CVE-2017-16378
Použití paměti po uvolnění Vzdálené spuštění kódu
Kritická CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Přístup k vyrovnávací paměti s nesprávnou hodnotou délky Vzdálené spuštění kódu Kritická CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Překročení hranice při čtení vyrovnávací paměti Vzdálené spuštění kódu Kritická CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Přetečení/podtečení vyrovnávací paměti Vzdálené spuštění kódu Kritická CVE-2017-16368
Přetečení haldy Vzdálené spuštění kódu Kritická CVE-2017-16383
Nesprávné ověření indexu pole Vzdálené spuštění kódu Kritická

CVE-2017-16391
CVE-2017-16410

Čtení mimo hranice Vzdálené spuštění kódu Kritická CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Zápis mimo hranice Vzdálené spuštění kódu Kritická CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Překonání prvků zabezpečení Drive-by-download Důležitá
CVE-2017-16361
CVE-2017-16366
Překonání prvků zabezpečení Neoprávněné zveřejnění informací Důležité CVE-2017-16369
Překonání prvků zabezpečení Vzdálené spuštění kódu
Kritická
CVE-2017-16380
Stack exhaustion Nadměrné využívání prostředků Důležité CVE-2017-16419
Záměna typu Vzdálené spuštění kódu Kritická CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Nedůvěryhodná dereference pointeru Vzdálené spuštění kódu Kritická CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu z týmu Xuanwu LAB společnosti Tencent spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Liu z týmu Xuanwu LAB společnosti Tencent (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me) ze společnosti Offensive Security spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic ze společnosti Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) z oddělení bezpečnostní platformy společnosti Tencent (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang z univerzity Beihang University (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ ze společnosti Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren ze společnosti NCC Group Plc (CVE-2017-16380)
  • Gal De Leon ze společnosti Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari – Project Srishti spolupracující se společností iDefense Labs (CVE-2017-16368)