Zveřejnění aktualizací zabezpečení pro aplikace Adobe Acrobat a Reader | APSB18-09
ID bulletinu Datum zveřejnění Priorita
APSB18-09 14. května 2018 1

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritické chyby zabezpečení, jejichž úspěšné využití mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.

Společnost Adobe byla seznámena se zprávou poukazující na možnost zneužití ve verzi CVE-2018-4990 pro širokou veřejnost.  Dále byl zveřejněn kód testování konceptu pro chybu zabezpečení CVE-2018-4993 a je veřejně dostupný.  

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Uživatel 2018.011.20038 a starší verze 
Windows a macOS
Acrobat Reader DC  Uživatel 2018.011.20038 a starší verze 
Windows a macOS
       
Acrobat 2017 Classic 2017 2017.011.30079 a starší verze Windows a macOS
Acrobat Reader 2017 Classic 2017 2017.011.30079 a starší verze Windows a macOS
       
Acrobat DC  Classic 2015 2015.006.30417 a starší verze
Windows a macOS
Acrobat Reader DC  Classic 2015 2015.006.30417 a starší verze
Windows a macOS

Další informace o aplikaci Acrobat DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat DC.

Další informace o aplikaci Acrobat Reader DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM
    pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC 2018.011.20040
Windows a macOS 1 Windows
macOS
Acrobat Reader DC 2018.011.20040
Windows a macOS 1 Windows
macOS
         
Acrobat 2017 2017.011.30080 Windows a macOS 1 Windows
macOS
Acrobat Reader DC 2017 2017.011.30080 Windows a macOS 1 Windows
macOS
         
Acrobat Reader DC (Classic 2015) 2015.006.30418
Windows a MacOS
1 Windows
macOS
Acrobat DC (Classic 2015) 2015.006.30418 Windows a macOS 1 Windows
macOS

Poznámka:

Jak již bylo oznámeno v předchozím ohlášení, podpora aplikace Adobe Acrobat 11.x a Adobe Reader 11.x skončila k 15. říjnu 2017.  Verze 11.0.23 je konečnou verzí aplikace Adobe Acrobat 11.x a Adobe Reader 11.x.  Společnost Adobe důrazně doporučuje provést aktualizaci na nejnovější verzi aplikace Adobe Acrobat DC a Adobe Acrobat Reader DC. Po provedení aktualizace na nejnovější verzi budete moci využívat nejnovější funkce a lepší zabezpečení.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
zdarma
Svévolné spuštění kódu Kritická CVE-2018-4990
Přetečení haldy
Svévolné spuštění kódu
Kritická

CVE-2018-4947, CVE-2018-4948, CVE-2018-4966, CVE-2018-4968, CVE-2018-4978, CVE-2018-4982, CVE-2018-4984

Chyba zabezpečení Use-after-free 
Svévolné spuštění kódu
Kritická CVE-2018-4996, CVE-2018-4952, CVE-2018-4954, CVE-2018-4958, CVE-2018-4959, CVE-2018-4961, CVE-2018-4971, CVE-2018-4974, CVE-2018-4977, CVE-2018-4980, CVE-2018-4983, CVE-2018-4988, CVE-2018-4989 
Zápis mimo hranice 
Svévolné spuštění kódu
Kritická CVE-2018-4950 
Překonání prvků zabezpečení Neoprávněné zveřejnění informací Důležité CVE-2018-4979
Čtení mimo hranice Neoprávněné zveřejnění informací Důležité CVE-2018-4949, CVE-2018-4951, CVE-2018-4955, CVE-2018-4956, CVE-2018-4957, CVE-2018-4960, CVE-2018-4962, CVE-2018-4963, CVE-2018-4964, CVE-2018-4967, CVE-2018-4969, CVE-2018-4970, CVE-2018-4972, CVE-2018-4973, CVE-2018-4975, CVE-2018-4976, CVE-2018-4981, CVE-2018-4986, CVE-2018-4985
Záměna typu Svévolné spuštění kódu Kritická CVE-2018-4953
Nedůvěryhodná dereference pointeru  Svévolné spuštění kódu Kritická CVE-2018-4987
Poškození paměti Neoprávněné zveřejnění informací Důležité CVE-2018-4965
Odcizení hodnoty hash jednotného přihlášení NTLM Neoprávněné zveřejnění informací Důležité CVE-2018-4993
Injektáž nového řádku HTTP POST prostřednictvím odeslání XFA Překonání prvků zabezpečení Důležité CVE-2018-4995

Poznámka:

Viz tento článek znalostní báze, kde najdete více informací o zmírnění rizik chyby zabezpečení CVE-2018-4993.  Pro chybu zabezpečení CVE-2018-4993 je správcům k dispozici další způsob zmírnění rizik, jehož výsledkem je blokování akcí souboru PDF, které otevírají odkazy, včetně akcí GoToE, GoToR, spuštění, vlákna, importu dat, exportu dat formuláře, odeslání formuláře a resetování formuláře. Více informací najdete v této dokumentaci.

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2018-4996, CVE-2018-4947)
  • Anton Cherepanov, ESET a Matt Oh, Microsoft (CVE-2018-4990)
  • Vladislav Stolyarov ze společnosti Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
  • Yoav Alon a Netanel Ben-Simon ze společnosti Check Point Software Technologies (CVE-2018-4985)
  • Gal De Leon ze společnosti Palo Alto Networks (CVE-2018-4959, CVE-2018-4961)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent (CVE-2018-4960, CVE-2018-4986)
  • Anonymně nahlášeno v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
  • WillJ (Tencent PC Manager) v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
  • Riusksk z oddělení bezpečnostní platformy společnosti Tencent v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4956, CVE-2018-4957)
  • Steven Seeley v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
  • Sebastian Apelt Siberas v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4977)
  • AbdulAziz Hariri v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
  • Hui Gao ze společnosti Palo Alto Networks a Heige (alias SuperHei) z týmu Knownsec 404 Security (CVE-2018-4958, CVE-2018-4983)
  • Cybellum Technologies LTD (CVE-2018-4989)
  • Alex z týmu Cure53 (CVE-2018-4995)
  • Assaf Baharav, Yaron Fruchtmann a Ido Solomon ze společnosti Check Point Software Technologies (CVE-2018-4993)

Revize

15. května 2018: Byl přidán jazyk pro upozornění uživatelů na možnost zneužití chyby zabezpečení CVE-2018-4990 a na to, že byl zveřejněn kód testování konceptu pro chybu zabezpečení CVE-2018-4985, který je veřejně dostupný. Také byla přidána chyba zabezpečení CVE-2018-4995 nahrazující chybu zabezpečení CVE-2018-4994, která již byla přiřazena k nesouvisející chybě zabezpečení v aplikaci Adobe Connect. Přidána byla i chyba zabezpečení CVE-2018-4996 nahrazující chybu zabezpečení CVE-2018-4946, která již byla přiřazena k nesouvisející chybě zabezpečení v aplikaci Adobe Photoshop.

16. května 2018: Byla opravena část se souhrnem: Chyb zabezpečení CVE-2018-4985 byla nahrazena chybou zabezpečení CVE-2018-4993.  Kód testování konceptu je veřejně dostupný pro chybu zabezpečení CVE-2018-4993, ne pro chybu zabezpečení CVE-2018-4985. 

17. května 2018: Byl přidán odkaz na dokumentaci popisující další zmírnění rizik pro chybu zabezpečení CVE-2018-4993, které znemožní uživatelům použít odkazy v dokumentech PDF.