Sikkerhedsopdateringer til Adobe Acrobat og Reader
Udgivelsesdato |
Prioritet |
|
---|---|---|
APSB17-24 |
8. august 2017 |
2 |
Resumé
Berørte versioner
Vedrørende yderligere oplysninger om Acrobat DC bedes du besøge Acrobat DC FAQ-siden.
Vedrørende yderligere oplysninger om Acrobat Reader DC bedes du besøge Acrobat Reader DC FAQ-siden.
Løsning
Adobe anbefaler brugerne at opdatere deres softwareinstallationer til de nyeste versioner ved at følge
vejledningen nedenfor.
De nyeste produktversioner er tilgængelige for slutbrugerne via en af følgende metoder:
- Brugere kan opdatere deres produktinstallationer manuelt ved at vælge Hjælp > Kontroller for opdateringer.
- Produkterne opdateres automatisk, når der registreres
opdateringer, uden at det kræver brugerens opmærksomhed. - Installationsprogrammet til den komplette Acrobat Reader kan hentes fra Acrobat Reader Download Center.
For IT-administratorer (administrerede miljøer):
- Download enterprise-installationsprogrammer fra ftp://ftp.adobe.com/pub/adobe/, eller se de specifikke udgivelsesnoter for links til installationsprogrammerne.
- Installer opdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
(Windows) eller på Macintosh, Apple Remote Desktop og SSH.
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
Produkt | Opdaterede versioner | Platform | Prioritetsgrad | Tilgængelighed |
---|---|---|---|---|
Acrobat DC (Continuous Track) | 2017.012.20098 |
Windows og Macintosh | 2 | Windows Macintosh |
Acrobat Reader DC (Continuous Track) | 2017.012.20098 | Windows og Macintosh | 2 | Download Center |
Acrobat 2017 | 2017.011.30066 | Windows og Macintosh | 2 | Windows Macintosh |
Acrobat Reader 2017 | 2017.011.30066 | Windows og Macintosh | 2 | Windows Macintosh |
Acrobat DC (Classic Track) | 2015.006.30355 |
Windows og Macintosh |
2 | Windows Macintosh |
Acrobat Reader DC (Classic Track) | 2015.006.30355 |
Windows og Macintosh | 2 | Windows Macintosh |
Acrobat XI | 11.0.21 | Windows og Macintosh | 2 | Windows Macintosh |
Reader XI | 11.0.21 | Windows og Macintosh | 2 | Windows Macintosh |
Version 11.0.22 er tilgængelig for brugere, der er påvirket af den funktionelle regression i XFA-formularer, der blev lanceret i version 11.0.21 (se her for yderligere oplysninger). Både version 11.0.22 og version 11.0.21 løser alle de sikkerhedsproblemer, der er beskrevet i denne bulletin.
Sikkerhedsoplysninger
Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | CVE-numre |
---|---|---|---|
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-3016 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-3038 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-3113 |
Utilstrækkelig verificering af dataægthed | Afsløring af oplysninger | Vigtig | CVE-2017-3115 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-3116 |
Heap-overflow | Ekstern kodekørsel | Kritisk | CVE-2017-3117 |
Sikkerhedsomgåelse | Afsløring af oplysninger | Vigtig | CVE-2017-3118 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Vigtig | CVE-2017-3119 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-3120 |
Heap-overflow | Ekstern kodekørsel | Kritisk | CVE-2017-3121 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-3122 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-3123 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-3124 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11209 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11210 |
Heap-overflow | Ekstern kodekørsel | Kritisk | CVE-2017-11211 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11212 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11214 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11216 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11217 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-11218 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-11219 |
Heap-overflow | Ekstern kodekørsel | Kritisk | CVE-2017-11220 |
Forveksling af typer | Ekstern kodekørsel | Kritisk | CVE-2017-11221 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11222 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-11223 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-11224 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11226 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11227 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11228 |
Sikkerhedsomgåelse | Ekstern kodekørsel | Vigtig | CVE-2017-11229 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11230 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-11231 |
Use-after-free | Afsløring af oplysninger | Vigtig | CVE-2017-11232 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11233 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11234 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-11235 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11236 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11237 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Kritisk | CVE-2017-11238 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Kritisk | CVE-2017-11239 |
Heap-overflow | Ekstern kodekørsel | Kritisk | CVE-2017-11241 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11242 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11243 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11244 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11245 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11246 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11248 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11249 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11251 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Kritisk | CVE-2017-11252 |
Use-after-free | Ekstern kodekørsel | Vigtig | CVE-2017-11254 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11255 |
Use-after-free | Ekstern kodekørsel | Kritisk | CVE-2017-11256 |
Forveksling af typer | Ekstern kodekørsel | Kritisk | CVE-2017-11257 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11258 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11259 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11260 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11261 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11262 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Vigtig | CVE-2017-11263 |
Ødelæggelse af hukommelsen | Afsløring af oplysninger | Vigtig | CVE-2017-11265 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11267 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11268 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11269 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11270 |
Ødelæggelse af hukommelsen | Ekstern kodekørsel | Kritisk | CVE-2017-11271 |
CVE-2017-3038 blev løst i 2017.009.20044 og 2015.006.30306 (april 2017-frigivelsen), men rettelsen var utilstrækkelig til version 11.0.20. Dette sikkerhedsproblem er nu blevet fuldkommen løst i version 11.0.21 (august 2017-frigivelsen).
Tak til følgende personer
Adobe vil gerne takke følgende personer og organisationer for at rapportere de
relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- @vftable i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11211, CVE-2017-11251)
- Aleksandar Nikolic fra Cisco Talos (CVE-2017-11263)
- Alex Infuhr fra Cure 53 (CVE-2017-11229)
- Ashfaq Ansari fra Project Srishti (CVE-2017-11221)
- Ashfaq Ansari fra Project Srishti i samarbejde med iDefense Vulnerability Contributor Program (CVE-2017-3038)
- Cybellum Technologies LTD (CVE-2017-3117)
- Anonymt rapporteret via Trend Micro's Zero Day Initiative (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11224, CVE-2017-11223)
- Fernando Munoz i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3115)
- Giwan Go fra STEALIEN & HIT i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11228, CVE-2017-11230)
- Heige (a.k.a. SuperHei) fra Knwonsec 404 Team (CVE-2017-11222)
- Jaanus Kp Clarified Security i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11236, CVE-2017-11237, CVE-2017-11252, CVE-2017-11231, CVE-2017-11265)
- Jaanus Kp Clarified Security i samarbejde med Trend Micro's Zero Day Initiative og Ashfaq Ansari - Project Srishti i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11231)
- Jihui Lu fra Tencent KeenLab (CVE-2017-3119)
- kdot i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11234, CVE-2017-11235, CVE-2017-11271)
- Ke Liu fra Tencent's Xuanwu LAB i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-3121, CVE-2017-3122, CVE-2017-11212, CVE-2017-11216, CVE-2017-11217, CVE-2017-11238, CVE-2017-11239, CVE-2017-11241, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11233, CVE-2017-11261, CVE-2017-11260, CVE-2017-11258, CVE-2017-11259, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11259, CVE-2017-11270, CVE-2017-11261)
- Ke Liu fra Tencent's Xuanwu LAB i samarbejde med Trend Micro's Zero Day Initiative og Steven Seeley (mr_me) fra Offensive Security (CVE-2017-11212, CVE-2017-11214, CVE-2017-11227)
- Siberas i samarbejde med Beyond Security's SecuriTeam Secure Disclosure Program (CVE-2017-11254)
- Richard Warren (CVE-2017-3118)
- riusksk fra Tencent Security Platform Department (CVE-2017-3016)
- Sebastian Apelt Siberas i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11219, CVE-2017-11256, CVE-2017-11257)
- Steven Seeley (mr_me) fra Offensive Security i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-11209, CVE-2017-11210, CVE-2017-11232, CVE-2017-11255, CVE-2017-3123, CVE-2017-3124)
- Steven Seeley i samarbejde med Beyond Security’s SecuriTeam Secure Disclosure Program (CVE-2017-11220)
- Steven Seeley (CVE-2017-11262)
- Sushan (CVE-2017-11226
- Toan Pham (CVE-2017-3116)
Revisioner
29. august 29 2017: Løsning-tabellen er blevet opdateret, så den indeholder alle nye opdateringer fra og med d. 29. august. Disse opdateringer løser et sikkerhedsproblem med funktionel regression i XFA-formularer, som har påvirket nogle brugere. Frigivelserne fra d. 29. august løser også sikkerhedsproblemet CVE-2017-11223.
CVE-2017-11223 blev oprindeligt adresseret i opdateringerne fra d. 8. august (versionerne 2017.012.20093, 2017.011.30059 og 2015.006.30352), men på grund af en funktionel regression i disse frigivelser blev der tilbudt midlertidige hotfixes, som annullerede rettelsen af CVE-2017-11223. Frigivelserne fra d. 29. august løser både sikkerhedsproblemet med regression og afhjælper CVE-2017-11223. Se denne blog-post for yderligere oplysninger.