Sikkerhedsopdateringer til Adobe Acrobat og Reader | APSB17-36
Bulletin-ID Udgivelsesdato Prioritet
APSB17-36 14. november 2017 2

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Acrobat og Reader til Windows og Macintosh. Disse opdateringer vedrører kritiske  sikkerhedsproblemer, der potentielt kan give en hacker mulighed for at få kontrol over det berørte system.

Berørte versioner

Produkt Berørte versioner Platform
Acrobat DC (Continuous Track) 2017.012.20098 og tidligere versioner
Windows og Macintosh
Acrobat Reader DC (Continuous Track) 2017.012.20098 og tidligere versioner
Windows og Macintosh
     
Acrobat 2017 2017.011.30066 og tidligere versioner Windows og Macintosh
Acrobat Reader 2017 2017.011.30066 og tidligere versioner Windows og Macintosh
     
Acrobat DC (Classic Track) 2015.006.30355 og tidligere versioner
Windows og Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30355 og tidligere versioner
Windows og Macintosh
     
Acrobat XI 11.0.22 og tidligere versioner Windows og Macintosh
Reader XI 11.0.22 og tidligere versioner Windows og Macintosh

Vedrørende yderligere oplysninger om Acrobat DC bedes du besøge Acrobat DC FAQ-siden.

Vedrørende yderligere oplysninger om Acrobat Reader DC bedes du besøge Acrobat Reader DC FAQ-siden.

Løsning

Adobe anbefaler brugerne at opdatere deres softwareinstallationer til de nyeste versioner ved at følge vejledningen nedenfor.
De nyeste produktversioner er tilgængelige for slutbrugerne via en af følgende metoder:

  • Brugere kan opdatere deres produktinstallationer manuelt ved at vælge Hjælp > Kontroller for opdateringer.
  • Produkterne opdateres automatisk, når der registreres
    opdateringer, uden at det kræver brugerens opmærksomhed.
  • Installationsprogrammet til den komplette Acrobat Reader kan hentes fra Acrobat Reader Download Center.

For IT-administratorer (administrerede miljøer):

  • Download enterprise-installationsprogrammer fra ftp://ftp.adobe.com/pub/adobe/, eller se de specifikke udgivelsesnoter for links til installationsprogrammerne.
  • Installer opdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) eller på Macintosh, Apple Remote Desktop og SSH.

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt Opdaterede versioner Platform Vurdering af prioritet Tilgængelighed
Acrobat DC (Continuous Track) 2018.009.20044
Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader DC (Continuous Track) 2018.009.20044
Windows og Macintosh 2 Download Center
         
Acrobat 2017 2017.011.30068 Windows og Macintosh 2 Windows
Macintosh
Acrobat Reader 2017 2017.011.30068 Windows og Macintosh 2 Windows
Macintosh
         
Acrobat DC (Classic Track) 2015.006.30392
Windows og Macintosh
2 Windows
Macintosh
Acrobat Reader DC (Classic Track) 2015.006.30392 
Windows og Macintosh 2 Windows
Macintosh
         
Acrobat XI 11.0.23 Windows og Macintosh 2 Windows
Macintosh
Reader XI 11.0.23 Windows og Macintosh 2 Windows
Macintosh

Bemærk:

Som nævnt i denne tidligere meddelelse ophørte supporten til Adobe Acrobat 11.x og Adobe Reader 11.x den 15. oktober 2017.  Version 11.0.23 er den sidste frigivelse af Adobe Acrobat 11.x og Adobe Reader 11.x.  Adobe anbefaler kraftigt, at du opdaterer til de nyeste versioner af Adobe Acrobat DC og Adobe Acrobat Reader DC. Ved at opdatere installationer til de nyeste versioner får du gavn af de seneste forbedringer af funktioner og sikkerhedsforanstaltninger.

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-nummer
Adgang for ikke-initialiseret pointer Ekstern kodekørsel
Kritisk CVE-2017-16377
CVE-2017-16378
Use-after-free Ekstern kodekørsel
Kritisk CVE-2017-16360
CVE-2017-16388
CVE-2017-16389
CVE-2017-16390
CVE-2017-16393
CVE-2017-16398
Bufferadgang med forkert Length-værdi Ekstern kodekørsel Kritisk CVE-2017-16381
CVE-2017-16385
CVE-2017-16392
CVE-2017-16395
CVE-2017-16396
Buffer over-read Ekstern kodekørsel Kritisk CVE-2017-16363
CVE-2017-16365
CVE-2017-16374
CVE-2017-16384
CVE-2017-16386
CVE-2017-16387
Buffer-overløb/-underløb Ekstern kodekørsel Kritisk CVE-2017-16368
Heap-overflow Ekstern kodekørsel Kritisk CVE-2017-16383
Ukorrekt validering af array-indeks Ekstern kodekørsel Kritisk

CVE-2017-16391
CVE-2017-16410

Out-of-bounds-læsning Ekstern kodekørsel Kritisk CVE-2017-16362
CVE-2017-16370
CVE-2017-16376
CVE-2017-16382
CVE-2017-16394
CVE-2017-16397
CVE-2017-16399
CVE-2017-16400
CVE-2017-16401
CVE-2017-16402
CVE-2017-16403
CVE-2017-16404
CVE-2017-16405
CVE-2017-16408
CVE-2017-16409
CVE-2017-16412
CVE-2017-16414
CVE-2017-16417
CVE-2017-16418
CVE-2017-16420
CVE-2017-11293
Out-of-bounds-skrivning Ekstern kodekørsel Kritisk CVE-2017-16407
CVE-2017-16413
CVE-2017-16415
CVE-2017-16416
Sikkerhedsomgåelse Drive-by-download Vigtig
CVE-2017-16361
CVE-2017-16366
Sikkerhedsomgåelse Afsløring af oplysninger Vigtig CVE-2017-16369
Sikkerhedsomgåelse Ekstern kodekørsel
Kritisk
CVE-2017-16380
Stack exhaustion Overdrevent ressourceforbrug Vigtig CVE-2017-16419
Forveksling af typer Ekstern kodekørsel Kritisk CVE-2017-16367
CVE-2017-16379
CVE-2017-16406
Upålidelig pointer-dereference Ekstern kodekørsel Kritisk CVE-2017-16364
CVE-2017-16371
CVE-2017-16372
CVE-2017-16373
CVE-2017-16375
CVE-2017-16411

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de
relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • Toan Pham Van (@__suto) (CVE-2017-16362, CVE-2017-16363, CVE-2017-16364, CVE-2017-16365)
  • Ke Liu fra Tencent's Xuanwu LAB i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-16381, CVE-2017-16382, CVE-2017-16383, CVE-2017-16384, CVE-2017-16385, CVE-2017-16386, CVE-2017-16387, CVE-2017-16400, CVE-2017-16401, CVE-2017-16402, CVE-2017-16403, CVE-2017-16404)
  • Ke Liu fra Tencent’s Xuanwu LAB (CVE-2017-16370, CVE-2017-16371, CVE-2017-16372, CVE-2017-16373, CVE-2017-16374, CVE-2017-16375)
  • Steven Seeley (mr_me) fra Offensive Security i samarbejde med Trend Micro's Zero Day Initiative (CVE-2017-16369)
  • Kamlapati Choubey, TELUS Security Labs (CVE-2017-16415)
  • Aleksandar Nikolic fra Cisco Talos http://talosintelligence.com/vulnerability-reports/ (CVE-2017-16367)
  • Jun Kokatsu (@shhnjk) (CVE-2017-16366, CVE-2017-16361)
  • riusksk (泉哥) fra Tencent Security Platform Department (CVE-2017-11293, CVE-2017-16408, CVE-2017-16409, CVE-2017-16410, CVE-2017-16411, CVE-2017-16399, CVE-2017-16395, CVE-2017-16394)
  • Marcin Towalski (CVE-2017-16391)
  • Lin Wang fra Beihang University (CVE-2017-16416, CVE-2017-16417, CVE-2017-16418, CVE-2017-16405)
  • willJ fra Tencent PC Manager (CVE-2017-16406, CVE-2017-16407, CVE-2017-16419, CVE-2017-16412, CVE-2017-16413, CVE-2017-16396, CVE-2017-16397, CVE-2017-16392)
  • Cybellum Technologies LTD cybellum.com (CVE-2017-16376, CVE-2017-16377, CVE-2017-16378, CVE-2017-16379)
  • Richard Warren fra NCC Group Plc (CVE-2017-16380)
  • Gal De Leon fra Palo Alto Networks (CVE-2017-16388, CVE-2017-16389, CVE-2017-16390, CVE-2017-16393, CVE-2017-16398, CVE-2017-16414, CVE-2017-16420)
  • Toan Pham @__suto (CVE-2017-16360)
  • Ashfaq Ansari - Project Srishti i samarbejde med iDefense Labs (CVE-2017-16368)