Na této stránce
某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritické chyby zabezpečení, jejichž úspěšné využití mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.
Společnost Adobe byla seznámena se zprávou poukazující na možnost zneužití ve verzi CVE-2018-4990 pro širokou veřejnost. Dále byl zveřejněn kód testování konceptu pro chybu zabezpečení CVE-2018-4993 a je veřejně dostupný.
Další informace o aplikaci Acrobat DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat DC.
Další informace o aplikaci Acrobat Reader DC najdete na stránce s nejčastějšími dotazy k aplikaci Acrobat Reader DC.
Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:
- Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
- Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
- Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.
Pro správce IT (spravovaná prostředí):
- Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
- Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM
pro systémy Windows nebo Apple Remote Desktop či SSH pro počítače Macintosh).
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
| Produkt | Aktualizované verze | Platforma | Úroveň priority | Dostupnost |
|---|---|---|---|---|
| Acrobat DC | 2018.011.20040 |
Windows a macOS | 1 | Windows macOS |
| Acrobat Reader DC | 2018.011.20040 |
Windows a macOS | 1 | Windows macOS |
| Acrobat 2017 | 2017.011.30080 | Windows a macOS | 1 | Windows macOS |
| Acrobat Reader DC 2017 | 2017.011.30080 | Windows a macOS | 1 | Windows macOS |
| Acrobat Reader DC (Classic 2015) | 2015.006.30418 |
Windows a MacOS |
1 | Windows macOS |
| Acrobat DC (Classic 2015) | 2015.006.30418 | Windows a macOS | 1 | Windows macOS |
Poznámka:
Jak již bylo oznámeno v předchozím ohlášení, podpora aplikace Adobe Acrobat 11.x a Adobe Reader 11.x skončila k 15. říjnu 2017. Verze 11.0.23 je konečnou verzí aplikace Adobe Acrobat 11.x a Adobe Reader 11.x. Společnost Adobe důrazně doporučuje provést aktualizaci na nejnovější verzi aplikace Adobe Acrobat DC a Adobe Acrobat Reader DC. Po provedení aktualizace na nejnovější verzi budete moci využívat nejnovější funkce a lepší zabezpečení.
Poznámka:
Viz tento článek znalostní báze, kde najdete více informací o zmírnění rizik chyby zabezpečení CVE-2018-4993. Pro chybu zabezpečení CVE-2018-4993 je správcům k dispozici další způsob zmírnění rizik, jehož výsledkem je blokování akcí souboru PDF, které otevírají odkazy, včetně akcí GoToE, GoToR, spuštění, vlákna, importu dat, exportu dat formuláře, odeslání formuláře a resetování formuláře. Více informací najdete v této dokumentaci.
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
- Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2018-4996, CVE-2018-4947)
- Anton Cherepanov, ESET a Matt Oh, Microsoft (CVE-2018-4990)
- Vladislav Stolyarov ze společnosti Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
- Yoav Alon a Netanel Ben-Simon ze společnosti Check Point Software Technologies (CVE-2018-4985)
- Gal De Leon ze společnosti Palo Alto Networks (CVE-2018-4959, CVE-2018-4961)
- Ke Liu z laboratoře Xuanwu LAB společnosti Tencent (CVE-2018-4960, CVE-2018-4986)
- Anonymně nahlášeno v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
- WillJ (Tencent PC Manager) v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
- Riusksk z oddělení bezpečnostní platformy společnosti Tencent v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4956, CVE-2018-4957)
- Steven Seeley v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
- Ke Liu z laboratoře Xuanwu LAB společnosti Tencent v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
- Sebastian Apelt Siberas v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4977)
- AbdulAziz Hariri v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
- Hui Gao ze společnosti Palo Alto Networks a Heige (alias SuperHei) z týmu Knownsec 404 Security (CVE-2018-4958, CVE-2018-4983)
- Cybellum Technologies LTD (CVE-2018-4989)
- Alex z týmu Cure53 (CVE-2018-4995)
- Assaf Baharav, Yaron Fruchtmann a Ido Solomon ze společnosti Check Point Software Technologies (CVE-2018-4993)
15. května 2018: Byl přidán jazyk pro upozornění uživatelů na možnost zneužití chyby zabezpečení CVE-2018-4990 a na to, že byl zveřejněn kód testování konceptu pro chybu zabezpečení CVE-2018-4985, který je veřejně dostupný. Také byla přidána chyba zabezpečení CVE-2018-4995 nahrazující chybu zabezpečení CVE-2018-4994, která již byla přiřazena k nesouvisející chybě zabezpečení v aplikaci Adobe Connect. Přidána byla i chyba zabezpečení CVE-2018-4996 nahrazující chybu zabezpečení CVE-2018-4946, která již byla přiřazena k nesouvisející chybě zabezpečení v aplikaci Adobe Photoshop.
16. května 2018: Byla opravena část se souhrnem: Chyb zabezpečení CVE-2018-4985 byla nahrazena chybou zabezpečení CVE-2018-4993. Kód testování konceptu je veřejně dostupný pro chybu zabezpečení CVE-2018-4993, ne pro chybu zabezpečení CVE-2018-4985.
17. května 2018: Byl přidán odkaz na dokumentaci popisující další zmírnění rizik pro chybu zabezpečení CVE-2018-4993, které znemožní uživatelům použít odkazy v dokumentech PDF.