Sikkerhedsopdateringer til Adobe Acrobat og Reader
Bulletin-ID Udgivelsesdato Prioritet
APSB17-24 8. august 2017 2

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Acrobat og Reader til Windows og Macintosh. Disse opdateringer løser sikkerhedsproblemer, der vurderes som kritiske og vigtige, og som potentielt kan give en hacker mulighed for at få kontrol over det berørte system. 

Berørte versioner

Disse opdateringer vedrører kritiske sikkerhedsproblemer i softwaren. Adobe tildeler disse opdateringer følgende prioriteter:

Produkt Berørte versioner Platform
Acrobat DC (Continuous Track) 2017.009.20058 og tidligere versioner
Windows og Macintosh
Acrobat Reader DC (Continuous Track) 2017.009.20058 og tidligere versioner
Windows og Macintosh
     
Acrobat 2017 2017.008.30051 og tidligere versioner Windows og Macintosh
Acrobat Reader 2017 2017.008.30051 og tidligere versioner Windows og Macintosh
     
Acrobat DC (Classic Track) 2015.006.30306 og tidligere versioner
Windows og Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30306 og tidligere versioner
Windows og Macintosh
     
Acrobat XI 11.0.20 og tidligere versioner Windows og Macintosh
Reader XI 11.0.20 og tidligere versioner Windows og Macintosh

Vedrørende yderligere oplysninger om Acrobat DC bedes du besøge Acrobat DC FAQ-siden.

Vedrørende yderligere oplysninger om Acrobat Reader DC bedes du besøge Acrobat Reader DC FAQ-siden.

Løsning

Adobe anbefaler brugerne at opdatere deres softwareinstallationer til de nyeste versioner ved at følge
vejledningen nedenfor.
De nyeste produktversioner er tilgængelige for slutbrugerne via en af følgende metoder:

  • Brugere kan opdatere deres produktinstallationer manuelt ved at vælge Hjælp > Kontroller for opdateringer.
  • Produkterne opdateres automatisk, når der registreres
    opdateringer, uden at det kræver brugerens opmærksomhed.
  • Installationsprogrammet til den komplette Acrobat Reader kan hentes fra Acrobat Reader Download Center.

For IT-administratorer (administrerede miljøer):

  • Download enterprise-installationsprogrammer fra ftp://ftp.adobe.com/pub/adobe/, eller se de specifikke udgivelsesnoter for links til installationsprogrammerne.
  • Installer opdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) eller på Macintosh, Apple Remote Desktop og SSH.

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt Opdaterede versioner Platform Vurdering af prioritet Tilgængelighed
Acrobat DC (Continuous Track) 2017.012.20098
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20098 Windows og Macintosh 2 Download Center
         
Acrobat 2017 2017.011.30066 Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30066 Windows og Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30355
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30355 
Windows og Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.21 Windows og Macintosh 2 Windows
Macintosh
Reader XI 11.0.21 Windows og Macintosh 2 Windows
Macintosh

Bemærk:

Version 11.0.22 er tilgængelig for brugere, der er påvirket af den funktionelle regression i XFA-formularer, der blev lanceret i version 11.0.21 (se her for yderligere oplysninger).  Både version 11.0.22 og version 11.0.21 løser alle de sikkerhedsproblemer, der er beskrevet i denne bulletin.    

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-numre
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-3016
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-3038
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-3113
Utilstrækkelig verificering af dataægthed Afsløring af oplysninger Vigtig CVE-2017-3115
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-3116
Heap-overflow Ekstern kodekørsel Kritisk CVE-2017-3117
Sikkerhedsomgåelse Afsløring af oplysninger Vigtig CVE-2017-3118
Ødelæggelse af hukommelsen Ekstern kodekørsel Vigtig CVE-2017-3119
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-3120
Heap-overflow Ekstern kodekørsel Kritisk CVE-2017-3121
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-3122
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-3123
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-3124
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11209
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11210
Heap-overflow Ekstern kodekørsel Kritisk CVE-2017-11211
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11212
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11214
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11216
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11217
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-11218
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-11219
Heap-overflow Ekstern kodekørsel Kritisk CVE-2017-11220
Forveksling af typer Ekstern kodekørsel Kritisk CVE-2017-11221
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11222
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-11223
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-11224
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11226
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11227
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11228
Sikkerhedsomgåelse Ekstern kodekørsel Vigtig CVE-2017-11229
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11230
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-11231
Use-after-free Afsløring af oplysninger Vigtig CVE-2017-11232
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11233
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11234
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-11235
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11236
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11237
Ødelæggelse af hukommelsen Afsløring af oplysninger Kritisk CVE-2017-11238
Ødelæggelse af hukommelsen Afsløring af oplysninger Kritisk CVE-2017-11239
Heap-overflow Ekstern kodekørsel Kritisk CVE-2017-11241
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11242
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11243
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11244
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11245
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11246
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11248
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11249
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11251
Ødelæggelse af hukommelsen Afsløring af oplysninger Kritisk CVE-2017-11252
Use-after-free Ekstern kodekørsel Vigtig CVE-2017-11254
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11255
Use-after-free Ekstern kodekørsel Kritisk CVE-2017-11256
Forveksling af typer Ekstern kodekørsel Kritisk CVE-2017-11257
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11258
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11259
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11260
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11261
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11262
Ødelæggelse af hukommelsen Ekstern kodekørsel Vigtig CVE-2017-11263
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2017-11265
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11267
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11268
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11269
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11270
Ødelæggelse af hukommelsen Ekstern kodekørsel Kritisk CVE-2017-11271

Bemærk:

CVE-2017-3038 blev løst i 2017.009.20044 og 2015.006.30306 (april 2017-frigivelsen), men rettelsen var utilstrækkelig til version 11.0.20.  Dette sikkerhedsproblem er nu blevet fuldkommen løst i version 11.0.21 (august 2017-frigivelsen).  

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de
relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • @vftable i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11211, CVE-2017-11251)
  • Aleksandar Nikolic fra Cisco Talos (CVE-2017-11263)
  • Alex Infuhr fra Cure 53 (CVE-2017-11229)
  • Ashfaq Ansari fra Project Srishti (CVE-2017-11221)
  • Ashfaq Ansari fra Project Srishti i samarbejde med iDefense Vulnerability Contributor Program (CVE-2017-3038)
  • Cybellum Technologies LTD (CVE-2017-3117)
  • Anonymt rapporteret via Trend Micro's Zero Day Initiative (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
  • Fernando Munoz i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3115)
  • Giwan Go fra STEALIEN & HIT i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11228, CVE-2017-11230)
  • Heige (a.k.a. SuperHei) (CVE-2017-11222)
  • Jaanus Kp Clarified Security i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
  • Jaanus Kp Clarified Security i samarbejde med Trend Micro's Zero Day Initiative og Ashfaq Ansari - Project Srishti i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11231)
  • Jihui Lu fra Tencent KeenLab (CVE-2017-3119)
  • kdot i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
  • Ke Liu fra Tencent's Xuanwu LAB i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
  • Ke Liu fra Tencent's Xuanwu LAB i samarbejde med Trend Micro's Zero Day Initiative og Steven Seeley (mr_me) fra Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
  • Siberas i samarbejde med Beyond Security's SecuriTeam Secure Disclosure Program (CVE-2017-11254)
  • Richard Warren (CVE-2017-3118)
  • riusksk fra Tencent Security Platform Department (CVE-2017-3016)
  • Sebastian Apelt Siberas i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
  • Steven Seeley (mr_me) fra Offensive Security i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
  • Steven Seeley i samarbejde med Beyond Security’s SecuriTeam Secure Disclosure Program (CVE-2017-11220)
  • Steven Seeley (CVE-2017-11262)
  • Sushan (CVE-2017-11226
  • Toan Pham (CVE-2017-3116)

Revisioner

29. august 29 2017: Løsning-tabellen er blevet opdateret, så den indeholder alle nye opdateringer fra og med d. 29. august.  Disse opdateringer løser et sikkerhedsproblem med funktionel regression i XFA-formularer, som har påvirket nogle brugere.  Frigivelserne fra d. 29. august løser også sikkerhedsproblemet CVE-2017-11223.  

CVE-2017-11223 blev oprindeligt adresseret i opdateringerne fra d. 8. august (versionerne 2017.012.20093, 2017.011.30059 og 2015.006.30352), men på grund af en funktionel regression i disse frigivelser blev der tilbudt midlertidige hotfixes, som annullerede rettelsen af CVE-2017-11223. Frigivelserne fra d. 29. august løser både sikkerhedsproblemet med regression og afhjælper CVE-2017-11223. Se denne blog-post for yderligere oplysninger.