Bezpečnostní bulletin pro aplikace Adobe Acrobat a Reader | APSB18-30
ID bulletinu Datum zveřejnění Priorita
APSB18-30 1. října 2018 2

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritické a důležité chyby zabezpečení.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.

Postižené verze

Produkt Stopa Postižené verze Platforma Hodnocení priority
Acrobat DC  Průběžně
2018.011.20063 a starší verze 
Windows a macOS 2
Acrobat Reader DC Průběžně
2018.011.20063 a starší verze 
Windows a macOS 2
         
Acrobat 2017 Classic 2017 2017.011.30102 a starší verze Windows a macOS 2
Acrobat Reader 2017 Classic 2017 2017.011.30102 a starší verze Windows a macOS 2
         
Acrobat DC  Classic 2015 2015.006.30452 a starší verze
Windows a macOS 2
Acrobat Reader DC  Classic 2015 2015.006.30452 a starší verze
Windows a macOS 2

V případě dotazů ohledně aplikace Acrobat DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat DC

V případě dotazů ohledně aplikace Acrobat Reader DC navštivte stránku s nejčastějšími dotazy k aplikaci Acrobat Reader DC.

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu (např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS).

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 2019.008.20071
Windows a macOS 2
Windows
macOS
Acrobat Reader DC Průběžně 2019.008.20071
Windows a macOS 2
Windows
macOS
           
Acrobat 2017 Classic 2017 2017.011.30105 Windows a macOS 2
Windows
macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30105 Windows a macOS 2
Windows
macOS
           
Acrobat DC Classic 2015 2015.006.30456
Windows a MacOS
2
Windows
macOS
Acrobat Reader DC Classic 2015 2015.006.30456 Windows a macOS 2
Windows
macOS

Poznámka:

Jak již bylo oznámeno v předchozím ohlášení, podpora aplikace Adobe Acrobat 11.x a Adobe Reader 11.x skončila k 15. říjnu 2017.  Verze 11.0.23 je konečnou verzí aplikace Adobe Acrobat 11.x a Adobe Reader 11.x.  Společnost Adobe důrazně doporučuje provést aktualizaci na nejnovější verzi aplikace Adobe Acrobat DC a Adobe Acrobat Reader DC. Po provedení aktualizace na nejnovější verzi budete moci využívat nejnovější funkce a lepší zabezpečení.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Zápis mimo hranice 
Svévolné spuštění kódu
Kritická

CVE-2018-15955,

CVE-2018-15954,

CVE-2018-15952,

CVE-2018-15945,

CVE-2018-15944,

CVE-2018-15941,

CVE-2018-15940,

CVE-2018-15939,

CVE-2018-15938,

CVE-2018-15936,  

CVE-2018-15935,

CVE-2018-15934,

CVE-2018-15933,

CVE-2018-15929,

CVE-2018-15928,

CVE-2018-12868,

CVE-2018-12865,

CVE-2018-12864,

CVE-2018-12862,

CVE-2018-12861,

CVE-2018-12860,

CVE-2018-12759

Čtení mimo hranice Neoprávněné zveřejnění informací Důležité

CVE-2018-15956,

CVE-2018-15953,

CVE-2018-15950,

CVE-2018-15949,

CVE-2018-15948,

CVE-2018-15947,

CVE-2018-15946,

CVE-2018-15943,

CVE-2018-15942,

CVE-2018-15932,

CVE-2018-15927,

CVE-2018-15926,

CVE-2018-15925,

CVE-2018-15923,

CVE-2018-15922,

CVE-2018-12880,

CVE-2018-12879,

CVE-2018-12878,

CVE-2018-12875,

CVE-2018-12874,

CVE-2018-12873,

CVE-2018-12872,

CVE-2018-12871,

CVE-2018-12870,

CVE-2018-12869,

CVE-2018-12867,

CVE-2018-12866,

CVE-2018-12859,

CVE-2018-12857,

CVE-2018-12856,

CVE-2018-12845,

CVE-2018-12844,

CVE-2018-12843,

CVE-2018-12839,

CVE-2018-12834,

CVE-2018-15968,

CVE-2018-15921

Přetečení haldy

Svévolné spuštění kódu

Kritická

 

CVE-2018-12851,

CVE-2018-12847,

CVE-2018-12846,

CVE-2018-12837,

CVE-2018-12836,

CVE-2018-12833,

CVE-2018-12832

Použití paměti po uvolnění

Svévolné spuštění kódu

Kritická

 

CVE-2018-15924,

CVE-2018-15920,

CVE-2018-12877,

CVE-2018-12863,

CVE-2018-12852,

CVE-2018-12831,

CVE-2018-12769

CVE-2018-15977

Záměna typu

Svévolné spuštění kódu

Kritická

 

CVE-2018-12876,

CVE-2018-12858,

CVE-2018-12835

Přetečení zásobníku

Neoprávněné zveřejnění informací

Důležité

CVE-2018-12838

Dvojité volání funkce free()

Svévolné spuštění kódu

Kritická

 

CVE-2018-12841

Přetečení celého čísla

Neoprávněné zveřejnění informací

Důležité

CVE-2018-12881,

CVE-2018-12842

Chyby vyrovnávací paměti

Svévolné spuštění kódu

Kritická

 

CVE-2018-15951,

CVE-2018-12855,

CVE-2018-12853

Nedůvěryhodná dereference pointeru

Svévolné spuštění kódu

Kritická

 

CVE-2018-15937,

CVE-2018-15931,

CVE-2018-15930

Překonání prvků zabezpečení

Eskalace oprávnění

Kritická

CVE-2018-15966

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Anonym v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-12851)
  • Zhiyuan Wang z Chengdu Security Response Center ze společnosti Qihoo 360 Technology Co. Ltd. (CVE-2018-12841, CVE-2018-12838, CVE-2018-12833)
  • willJ spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-12856, CVE-2018-12855)
  • Sebastian Apelt ze společnosti Siberas, spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-12858)
  • Lin Wang z Beihang University spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-12876, CVE-2018-12868)
  • Esteban Ruiz (mr_me) ze společnosti Source Incite spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro (CVE-2018-12879, CVE-2018-12877)
  • Kamlapati Choubey spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-15948, CVE-2018-15946, CVE-2018-12842)
  • Ron Waisberg spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-15950, CVE-2018-15949, CVE-2018-15947)
  • Aleksandar Nikolic ze společnosti Cisco Talos.(CVE-2018-12852)
  • Guy Inbar (guyio) (CVE-2018-12853)
  • Lin Wang z Beihang University (CVE-2018-15951, CVE-2018-12881, CVE-2018-12880, CVE-2018-12845, CVE-2018-12844, CVE-2018-12843, CVE-2018-12759)
  • Gal De Leon ze společnosti Palo Alto Networks (CVE-2018-15920, CVE-2018-12846, CVE-2018-12836, CVE-2018-12832, CVE-2018-12769, CVE-2018-15921)
  • Zhenjie Jia z týmu Qihoo 360 Vulcan (CVE-2018-12831)
  • Hui Gao ze společnosti Palo Alto Networks a Heige (SuperHei) z týmu Knownsec 404 Security (CVE-2018-15925, CVE-2018-15924, CVE-2018-15968)
  • Bo Qu a Zhibin Zhang ze společnosti Palo Alto Networks (CVE-2018-15923, CVE-2018-15922)
  • Qi Deng ze společnosti Palo Alto Networks a Heige (alias SuperHei) z týmu Knownsec 404 Security (-15977, CVE-2018-
  • Esteban Ruiz (mr_me) ze společnosti Source Incite spolupracující s týmem iDefense Labs (CVE-2018-12835)
  • Ashfaq Ansari – Project Srishti spolupracující se společností iDefense Labs (CVE-2018-15968)
  • Netanel Ben-Simon a Yoav Alon ze společnosti Check Point Software Technologies (CVE-2018-15956, CVE-2018-15955, CVE-2018-15954,CVE-2018-15953, CVE-2018-15952, CVE-2018-15938, CVE-2018-15937, CVE-2018-15936, CVE-2018-15935, CVE-2018-15934, CVE-2018-15933, CVE-2018-15932 , CVE-2018-15931, CVE-2018-15930 , CVE-2018-15929, CVE-2018-15928, CVE-2018-15927, CVE-2018-12875, CVE-2018-12874 , CVE-2018-12873, CVE-2018-12872,CVE-2018-12871, CVE-2018-12870, CVE-2018-12869, CVE-2018-12867 , CVE-2018-12866, CVE-2018-12865 , CVE-2018-12864 , CVE-2018-12863, CVE-2018-12862, CVE-2018-12861, CVE-2018-12860, CVE-2018-12859, CVE-2018-12857, CVE-2018-12839)
  • Ke Liu z laboratoře Tencent Security Xuanwu Lab (CVE-2018-15945, CVE-2018-15944, CVE-2018-15943, CVE-2018-15942, CVE-2018-15941, CVE-2018-15940, CVE-2018-15939, CVE-2018-15926, CVE-2018-12878, CVE-2018-12837, CVE-2018-12834)
  • Benjamin Brupbacher (CVE-2018-12847)
  • Wei Wei (@Danny__Wei) ze společnosti Tencent Xuanwu Lab (CVE-2018-15966)