Bezpečnostní bulletin pro aplikace Adobe Acrobat a Reader | APSB18-41
ID bulletinu Datum zveřejnění Priorita
APSB18-41 11. prosince 2018 2

Shrnutí

Společnost Adobe vydala Zveřejnění aktualizace zabezpečení pro aplikace Adobe Acrobat a Reader pro systémy Windows a macOS. Tyto aktualizace řeší kritickédůležité chyby zabezpečení. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.   

Postižené verze

Produkt Stopa Postižené verze Platforma
Acrobat DC  Průběžně
2019.008.20081 a starší verze 
Windows 
Acrobat DC  Průběžně 2019.008.20080 a starší verze macOS
Acrobat Reader DC Průběžně
2019.008.20081 a starší verze Windows
Acrobat Reader DC Průběžně 2019.008.20080 a starší verze macOS
       
Acrobat 2017 Classic 2017 2017.011.30106 a starší verze Windows
Acrobat 2017 Classic 2017 2017.011.30105 a starší verze macOS
Acrobat Reader 2017 Classic 2017 2017.011.30106 a starší verze Windows
Acrobat Reader 2017 Classic 2017 2017.011.30105 a starší verze macOS
       
Acrobat DC  Classic 2015 2015.006.30457 a starší verze  Windows
Acrobat DC  Classic 2015 2015.006.30456 a starší verze  macOS
Acrobat Reader DC  Classic 2015 2015.006.30457 a starší verze  Windows
Acrobat Reader DC Classic 2015 2015.006.30456 a starší verze  macOS

Řešení

Společnost Adobe doporučuje uživatelům aktualizovat instalace jejich softwaru na nejnovější verze dle níže uvedených pokynů.
Nejnovější verze produktů mohou koncoví uživatelé získat jedním z následujících způsobů:

  • Uživatelé mohou aktualizace produktů aktualizovat ručně výběrem nabídky Nápověda > Zkontrolovat aktualizace.
  • Produkty se aktualizují automaticky bez zásahu uživatele, jakmile zjistí dostupnost aktualizací.
  • Úplný instalační program aplikace Acrobat Reader lze stáhnout ze Střediska stahování aplikace Acrobat Reader.

Pro správce IT (spravovaná prostředí):

  • Stáhněte si podnikové instalační programy z adresy ftp://ftp.adobe.com/pub/adobe/ nebo vyhledejte odkazy na instalační programy v příslušné verzi poznámek k vydání.
  • Nainstalujte aktualizace pomocí upřednostňovaného postupu např. AIP-GPO, bootstrapper či SCUP/SCCM pro systémy Windows nebo Apple Remote Desktop či SSH pro systémy macOS.

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Stopa Aktualizované verze Platforma Úroveň priority Dostupnost
Acrobat DC Průběžně 2019.010.20064 Windows a macOS 2 Windows

macOS
Acrobat Reader DC Průběžně 2019.010.20064
Windows a macOS 2 Windows

macOS
           
Acrobat 2017 Classic 2017 2017.011.30110 Windows a macOS 2 Windows

macOS
Acrobat Reader DC 2017 Classic 2017 2017.011.30110 Windows a macOS 2 Windows

macOS
           
Acrobat DC Classic 2015 2015.006.30461 Windows a macOS 2 Windows

macOS
Acrobat Reader DC Classic 2015 2015.006.30461 Windows a macOS 2 Windows

macOS

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE

Chyby vyrovnávací paměti

 

Svévolné spuštění kódu

 

Kritická

 

CVE-2018-15998

CVE-2018-15987

 

Nedůvěryhodné přesměrování ukazatele

 

Svévolné spuštění kódu

 

 

 

Kritická

 

 

CVE-2018-16004

CVE-2018-19720

Překonání prvků zabezpečení

 

Eskalace oprávnění

 

Kritická

 

 

 

CVE-2018-16045

CVE-2018-16044

 

 

Použití paměti po uvolnění

 

 

 

 

Svévolné spuštění kódu

 

 

 

 

Kritická

 

 

CVE-2018-19715

CVE-2018-19713

CVE-2018-19708

CVE-2018-19707

CVE-2018-19700

CVE-2018-19698

CVE-2018-16046

CVE-2018-16040

CVE-2018-16039

CVE-2018-16037

CVE-2018-16036

CVE-2018-16029

CVE-2018-16027

CVE-2018-16026

CVE-2018-16025

CVE-2018-16014

CVE-2018-16008

CVE-2018-16003

CVE-2018-15994

CVE-2018-15993

CVE-2018-15992

CVE-2018-15991

CVE-2018-15990

 

 

Zápis mimo hranice 

 

 

 

 

Svévolné spuštění kódu

 

 

 

 

Kritická

 

 

CVE-2018-19702

CVE-2018-16016

CVE-2018-16000

CVE-2018-15999

CVE-2018-15988

 

 

Přetečení haldy

 

 

 

 

Svévolné spuštění kódu

 

 

 

 

Kritická

 

 

CVE-2018-19716

CVE-2018-16021

CVE-2018-12830

 

 

Čtení mimo hranice

 

 

 

 

Neoprávněné zveřejnění informací

 

 

 

 

Důležité

 

 

CVE-2018-19717

CVE-2018-19714

CVE-2018-19712

CVE-2018-19711

CVE-2018-19710 

CVE-2018-19709

CVE-2018-19706

CVE-2018-19705

CVE-2018-19704 

CVE-2018-19703

CVE-2018-19701

CVE-2018-19699

CVE-2018-16047 

CVE-2018-16043

CVE-2018-16041

CVE-2018-16038

CVE-2018-16035 

CVE-2018-16034

CVE-2018-16033

CVE-2018-16032

CVE-2018-16031 

CVE-2018-16030

CVE-2018-16028

CVE-2018-16024

CVE-2018-16023 

CVE-2018-16022

CVE-2018-16020

CVE-2018-16019

CVE-2018-16017 

CVE-2018-16015

CVE-2018-16013

CVE-2018-16012

CVE-2018-16010 

CVE-2018-16006

CVE-2018-16005

CVE-2018-16002

CVE-2018-16001 

CVE-2018-15997

CVE-2018-15996

CVE-2018-15989

CVE-2018-15985 

CVE-2018-15984

CVE-2018-19719

 

Přetečení celého čísla

 

Neoprávněné zveřejnění informací

 

 

 

Důležité

 

 

CVE-2018-16009

CVE-2018-16007

CVE-2018-15995

CVE-2018-15986

Překonání prvků zabezpečení Neoprávněné zveřejnění informací Důležité CVE-2018-16042

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Hlášeno anonymně v rámci iniciativy Trend Micro Zero Day Initiative Micro (CVE-2018-16029, CVE-2018-16027, CVE-2018-16025, CVE-2018-15997, CVE-2018-15992)

  • Ke Liu z laboratoře Tencent's Xuanwu Lab (CVE-2018-19706, CVE-2018-19705, CVE-2018-19704, CVE-2018-19703, CVE-2018-19702, CVE-2018-16035, CVE-2018-16020, CVE-2018-16019, CVE-2018-16016, CVE-2018-16015, CVE-2018-16013, CVE-2018-15990, CVE-2018-15988).

  • kdot ve spolupráci v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-19712, CVE-2018-19711, CVE-2018-16030, CVE-2018-16028, CVE-2018-16012, CVE-2018-16002, CVE-2018-16001, CVE-2018-15996)

  • Esteban Ruiz (mr_me) z organizace Source Incite v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-16026, CVE-2018-15994, CVE-2018-15993, CVE-2018-15991, CVE-2018-16008).

  • Du pingxin z bezpečnostního týmu NSFOCUS (CVE-2018-16022, CVE-2018-16021, CVE-2018-16017, CVE-2018-16000, CVE-2018-15999)

  • Lin Wang z Beihang University v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-16014)

  • guyio v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-16024, CVE-2018-16023, CVE-2018-15995)

  • Pengsu Cheng z oddělení bezpečnostního výzkumu společnosti Trend Micro v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-15985)

  • XuPeng z institutu softwaru Čínské akademie věd TCA/SKLCS a Huang Zheng z laboratoře Baidu Security Lab (CVE-2018-12830)

  • Linan Hao z týmu Qihoo 360 Vulcan a Zhenjie Jia z týmu Qihoo 360 Vulcan (CVE-2018-16041)

  • Steven Seeley v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-16008)

  • Roderick Schaefer v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-19713)

  • Lin Wang z univerzity Beihang University (CVE-2018-15998, CVE-2018-15989, CVE-2018-15987, CVE-2018-15986, CVE-2018-15984)

  • Vladislav  Mladenov,  Christian  Mainka,  Karsten  Meyer  zu  Selhausen, Martin Grothe, Jorg Schwenk z univerzity Ruhr-Universität Bochum (CVE-2018-16042)

  • Aleksandar Nikolic ze společnosti Cisco Talos (CVE-2018-19716)

  • Kamlapati Choubey v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-19714)

  • Sebastian Apelt (@bitshifter123) v rámci iniciativy Trend Micro Zero Day Initiative (CVE-2018-16010, CVE-2018-16003, CVE-2018-16044, CVE-2018-19720, CVE-2018-19719)

  • Abdul Aziz Hariri z iniciativy Zero Day Initiative a Sebastian Apelt za mimořádný přínos k omezení prostoru pro útok Onix Indexing (CVE-2018-16004, CVE-2018-16005, CVE-2018-16007, CVE-2018-16009, CVE-2018-16043, CVE-2018-16045, CVE-2018-16046)

  • Qi Deng z organizace Palo Alto Networks (CVE-2018-16033, CVE-2018-16032, CVE-2018-16031)

  • Zhibin Zhang z organizace Palo Alto Networks (CVE-2018-16037, CVE-2018-16036, CVE-2018-16034)

  • Hui Gao a Qi Deng z organizace Palo Alto Networks (CVE-2018-19698, CVE-2018-16047, CVE-2018-16040, CVE-2018-16038)

  • Hui Gao a Zhibin Zhang z organizace Palo Alto Networks (CVE-2018-19710, CVE-2018-19709, CVE-2018-19707, CVE-2018-19700, CVE-2018-19699)

  • Bo Qu z organizace Palo Alto Networks a bezpečnostní tým Heige of Knownsec 404 Security Team (CVE-2018-19717, CVE-2018-19715, CVE-2018-19708, CVE-2018-19701, CVE-2018-16039)