Sikkerhedsopdateringer til Adobe Acrobat og Reader

Udgivelsesdato: 6. april 2017

Seneste opdatering: 11. maj 2017

Id for sikkerhedsproblem: APSB17-11

Prioritet:2

CVE-numre: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Platform: Windows og Macintosh

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Acrobat og Reader til Windows og Macintosh. Disse opdateringer vedrører kritiske  sikkerhedsproblemer, der potentielt kan give en hacker mulighed for at få kontrol over det berørte system.

Berørte versioner

Produkt Track Berørte versioner Platform
Acrobat DC Fortløbende 15.023.20070 og tidligere versioner
Windows og Macintosh
Acrobat Reader DC Fortløbende 15.023.20070 og tidligere versioner
Windows og Macintosh
       
Acrobat DC Klassisk 15.006.30280 og tidligere versioner
Windows og Macintosh
Acrobat Reader DC Klassisk 15.006.30280 og tidligere versioner
Windows og Macintosh
       
Acrobat XI Computer 11.0.19 og tidligere versioner Windows og Macintosh
Reader XI Computer 11.0.19 og tidligere versioner Windows og Macintosh

Vedrørende yderligere oplysninger om Acrobat DC bedes du besøge Acrobat DC FAQ-siden.

Vedrørende yderligere oplysninger om Acrobat Reader DC bedes du besøge Acrobat Reader DC FAQ-siden.

Løsning

Adobe anbefaler brugerne at opdatere deres softwareinstallationer til de nyeste versioner ved at følge
vejledningen nedenfor.
De nyeste produktversioner er tilgængelige for slutbrugerne via en af følgende metoder:

  • Brugere kan opdatere deres produktinstallationer manuelt ved at vælge Hjælp > Kontroller for opdateringer.
  • Produkterne opdateres automatisk, når der registreres
    opdateringer, uden at det kræver brugerens opmærksomhed.
  • Installationsprogrammet til den komplette Acrobat Reader kan hentes fra Acrobat Reader Download Center.

For IT-administratorer (administrerede miljøer):

  • Download enterprise-installationsprogrammer fra ftp://ftp.adobe.com/pub/adobe/, eller se de specifikke udgivelsesnoter for links til installationsprogrammerne.
  • Installer opdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) eller på Macintosh, Apple Remote Desktop og SSH.

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt Track Opdaterede versioner Platform Vurdering af prioritet Tilgængelighed
Acrobat DC Fortløbende 2017.009.20044
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC Fortløbende 2017.009.20044
Windows og Macintosh 2 Download Center
           
Acrobat DC Klassisk 2015.006.30306
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC Klassisk 2015.006.30306 
Windows og Macintosh 2 Windows
Macintosh
           
Acrobat XI Computer 11.0.20 Windows og Macintosh 2 Windows
Macintosh
Reader XI Computer 11.0.20 Windows og Macintosh 2 Windows
Macintosh

Sikkerhedsoplysninger

  • Disse opdateringer løser sikkerhedsproblemer med use-after-free, der kan medføre kodekørsel (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Disse opdateringer løser sikkerhedsproblemer med heap buffer-overflow, der kan medføre kodekørsel
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Disse opdateringer løser sikkerhedsproblemer med ødelæggelse af hukommelsen, der kan medføre kodekørsel
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Disse opdateringer løser sikkerhedsproblemer med heltalsoverflow, der kan medføre kodekørsel (CVE-
    2017-3011, CVE-2017-3034).
  • Disse opdateringer løser sikkerhedsproblemer med ødelæggelse af hukommelsen, der kan medføre lækage af hukommelsesadresser
    (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Disse opdateringer løser sikkerhedsproblemer med den mappesøgesti, der anvendes til at søge efter ressourcer, der
    kan medføre kodekørsel (CVE-2017-3012, CVE-2017-3013).

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de
relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • Nicolas Grgoire - Agarri i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3031)
  • Weizhong Qian, Fuhao Li og Huinian Yang fra ART&UESTC's Neklab (CVE-2017-3037)
  • Anonymt rapporteret via iDefense Vulnerability Contributor Program (VCP) (CVE-2017-3014,
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • riusksk i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3040)
  • LiuBenjin fra Qihoo360 CodeSafe Team i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Keen Team i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • AbdulAziz Hariri fra Trend Micro's Zero Day Initiative og Steven Seeley (mr_me) fra Offensive
    Security i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3042)
  • AbdulAziz Hariri fra Trend Micro's Zero Day Initiative (-2017-, CVE-3043)
  • Ashfaq Ansari - Project Srishti via iDefense Vulnerability Contributor Program (VCP) (CVE-2017-
    3038)
  • Steven Seeley (mr_me) fra Offensive Security (CVE-2017-3026, CVE-2017-3054)
  • kimyok fra  Tencent Security Platform Department (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • kdot i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Steven Seeley (mr_me) fra Offensive Security i samarbejde med Trend Micro's Zero Day Initiative
    (CVE-2017-3047, CVE-2017-3049)
  • Steven Seeley (mr_me) fra Offensive Security i samarbejde med Trend Micro's Zero Day Initiative og Ke Liu fra Tencent's Xuanwu LAB (CVE-2017-3050)
  • Ke Liu fra Tencent's Xuanwu LAB (CVE-2017-3012, CVE-2017-3015)
  • soiax i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3022)
  • Sebastian Apelt (Siberas) i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Liu fra Tencent's Xuanwu LAB i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Jun Mao fra Tencent PC Manager via GeekPwn (CVE-2017-3011)
  • Giwan Go fra STEALIEN i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Revisioner

27. april 2017: Opdateret med anerkendelse af CVE-2017-3050, som ved en fejl var blevet udeladt fra sikkerhedsbulletinen.

11. maj 2017: Opdateret med anerkendelse af CVE-2017-3040, som ved en fejl var blevet udeladt fra sikkerhedsbulletinen.