Bezpečnostní bulletin pro aplikace Adobe Acrobat a Reader | APSB18-21
ID bulletinu Datum zveřejnění Priorita
APSB18-21 10. července 2018 2

Shrnutí

Společnost Adobe vydala zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritické a důležité chyby zabezpečení.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.

Postižené verze

Produkt Stopa Postižené verze Platforma Hodnocení priority
Acrobat DC  Průběžně
2018.011.20040 a starší verze 
Windows a macOS 2
Acrobat Reader DC Průběžně
2018.011.20040 a starší verze 
Windows a macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30080 a starší verze Windows a macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30080 a starší verze Windows a macOS 2
         
Acrobat DC  Classic 2015 2015.006.30418 a starší verze
Windows a macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30418 a starší verze
Windows a macOS 2

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC

V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS).

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 2018.011.20055
Windows a macOS 2
Windows
macOS
Acrobat Reader DC Průběžně 2018.011.20055
Windows a macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30096 Windows a macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30096 Windows a macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30434
Windows a MacOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30434 Windows a macOS 2
Windows
macOS

Poznámka:

Jak již bylo oznámeno v předchozím ohlášení, podpora aplikace Adobe Acrobat 11.x a Adobe Reader 11.x skončila k 15. říjnu 2017.  Verze 11.0.23 je konečnou verzí aplikace Adobe Acrobat 11.x a Adobe Reader 11.x.  Společnost Adobe důrazně doporučuje provést aktualizaci na nejnovější verzi aplikace Adobe Acrobat DC a Adobe Acrobat Reader DC. Po provedení aktualizace na nejnovější verzi budete moci využívat nejnovější funkce a lepší zabezpečení.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
zdarma
Svévolné spuštění kódu Kritická CVE-2018-12782
Přetečení haldy
Svévolné spuštění kódu
Kritická CVE-2018-5015, CVE-2018-5028,   CVE-2018-5032, CVE-2018-5036,   CVE-2018-5038, CVE-2018-5040,   CVE-2018-5041, CVE-2018-5045,   CVE-2018-5052, CVE-2018-5058,   CVE-2018-5067, CVE-2018-12785, CVE-2018-12788, CVE-2018-12798
Chyba zabezpečení Use-after-free 
Svévolné spuštění kódu
Kritická CVE-2018-5009, CVE-2018-5011,   CVE-2018-5065, CVE-2018-12756, CVE-2018-12770, CVE-2018-12772, CVE-2018-12773, CVE-2018-12776, CVE-2018-12783, CVE-2018-12791, CVE-2018-12792, CVE-2018-12796, CVE-2018-12797  
Zápis mimo hranice 
Svévolné spuštění kódu
Kritická CVE-2018-5020, CVE-2018-5021,   CVE-2018-5042, CVE-2018-5059,   CVE-2018-5064, CVE-2018-5069,   CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12758, CVE-2018-12760, CVE-2018-12771, CVE-2018-12787
Překonání prvků zabezpečení Eskalace oprávnění
Kritická
CVE-2018-12802
Čtení mimo hranice Neoprávněné zveřejnění informací Důležité CVE-2018-5010, CVE-2018-12803,  CVE-2018-5014, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5022, CVE-2018-5023, CVE-2018-5024, CVE-2018-5025, CVE-2018-5026, CVE-2018-5027, CVE-2018-5029, CVE-2018-5031, CVE-2018-5033, CVE-2018-5035, CVE-2018-5039, CVE-2018-5044, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5053, CVE-2018-5054, CVE-2018-5055, CVE-2018-5056, CVE-2018-5060, CVE-2018-5061, CVE-2018-5062, CVE-2018-5063, CVE-2018-5066, CVE-2018-5068, CVE-2018-12757, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767, CVE-2018-12768, CVE-2018-12774, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12786, CVE-2018-12789, CVE-2018-12790, CVE-2018-12795
Záměna typu Svévolné spuštění kódu Kritická CVE-2018-5057, CVE-2018-12793, CVE-2018-12794
Nedůvěryhodná dereference pointeru  Svévolné spuštění kódu Kritická CVE-2018-5012, CVE-2018-5030
Chyby vyrovnávací paměti
Svévolné spuštění kódu Kritická CVE-2018-5034, CVE-2018-5037, CVE-2018-5043, CVE-2018-12784

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Gal De Leon ze společnosti Palo Alto Networks (CVE-2018-5009, CVE-2018-5066)

  • Anonymní hlášení v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-12770, CVE-2018-12771, CVE-2018-12772, CVE-2018-12773, CVE-2018-12774, CVE-2018-12776, CVE-2018-12777, CVE-2018-12779, CVE-2018-12780, CVE-2018-12781, CVE-2018-12783, CVE-2018-12795, CVE-2018-12797)

  • WillJ z týmu vývojářů softwaru Tencent PC Manager, spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-5058, CVE-2018-5063, CVE-2018-5065)

  • Steven Seeley spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-5012, CVE-2018-5030, CVE-2018-5033, CVE-2018-5034, CVE-2018-5035, CVE-2018-5059, CVE-2018-5060, CVE-2018-12793, CVE-2018-12796) 

  • Ke Liu z laboratoře Xuanwu LAB společnosti Tencent spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-12803, CVE-2018-5014, CVE-2018-5015, CVE-2018-5016, CVE-2018-5017, CVE-2018-5018, CVE-2018-5019, CVE-2018-5027, CVE-2018-5028, CVE-2018-5029, CVE-2018-5031, CVE-2018-5032, CVE-2018-5055, CVE-2018-5056, CVE-2018-5057)

  • Sebastian Apelt Siberas v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-12794)

  • Zhiyuan Wang ze společnosti Chengdu Qihoo360 Tech Co. Ltd. (CVE-2018-12758)

  • Lin Wang z univerzity Beihang (CVE-2018-5010, CVE-2018-5020, CVE-2018-12760, CVE-2018-12761, CVE-2018-12762, CVE-2018-12763, CVE-2018-12787, CVE-2018-5067) 

  • Zhenjie Jia z týmu Qihoo 360 Vulcan Team (CVE-2018-12757)

  • Netanel Ben Simon a Yoav Alon ze společnosti Check Point Software Technologies (CVE-2018-5063, CVE-2018-5064, CVE-2018-5065, CVE-2018-5068, CVE-2018-5069, CVE-2018-5070, CVE-2018-12754, CVE-2018-12755, CVE-2018-12764, CVE-2018-12765, CVE-2018-12766, CVE-2018-12767. CVE-2018-12768)

  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2018-12756)

  • Vladislav Stolyarov ze společnosti Kaspersky Lab (CVE-2018-5011) 

  • Ke Liu z laboratoře Xuanwu Lab společnosti Tencent (CVE-2018-12785, CVE-2018-12786)

  • Kdot v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-5036, CVE-2018-5037, CVE-2018-5038, CVE-2018-5039, CVE-2018-5040, CVE-2018-5041, CVE-2018-5042, CVE-2018-5043, CVE-2018-5044, CVE-2018-5045, CVE-2018-5046, CVE-2018-5047, CVE-2018-5048, CVE-2018-5049, CVE-2018-5050, CVE-2018-5051, CVE-2018-5052, CVE-2018-5053, CVE-2018-5054, CVE-2018-5020)

  • Pengsu Cheng ze společnosti Trend Micro spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-5061, CVE-2018-5067, CVE-2018-12790, CVE-2018-5056)

  • Ron Waisberg spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-5062, CVE-2018-12788, CVE-2018-12789) 

  • Steven Seeley (mr_me) ze společnosti Source Incite spolupracující s týmem iDefense Labs (CVE-2018-12791, CVE-2018-12792, CVE-2018-5015)

  • iDefense Labs (CVE-2018-12798)

  • XuPeng z institutu softwaru čínské akademie věd TCA/SKLCS a Huang Zheng z laboratoře Baidu Security Lab (CVE-2018-12782)

  • Anonymní hlášení (CVE-2018-12784, CVE-2018-5009)

  • mr_me ze společnosti Source Incite spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2018-12761)

  • Zhanglin He a Bo Qu ze společnosti Palo Alto Networks (CVE-2018-5023, CVE-2018-5024)

  • Bo Qu ze společnosti Palo Alto Networks a Heige z týmu Knownsec 404 Security Team (CVE-2018-5021, CVE-2018-5022, CVE-2018-5025, CVE-2018-5026)