Sikkerhedsopdateringer til Adobe Acrobat og Reader | APSB18-09
Bulletin-ID Udgivelsesdato Prioritet
APSB18-09 14. maj 2018 1

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Acrobat og Reader til Windows og macOS. Disse opdateringer løser kritiske sikkerhedsproblemer, som – hvis de udnyttes – kan medføre vilkårlig kodekørsel for den aktuelle bruger.

Adobe er opmærksom på en rapport, der viser, at et sikkerhedsproblem i forbindelse med CVE-2018-4990 udnyttes frit på nettet.  Desuden er proof-of-concept-kode vedrørende CVE-2018-4993 blevet publiceret og gjort offentlig tilgængelig.  

Berørte versioner

Produkt Track Berørte versioner Platform
Acrobat DC  Privatpersoner 2018.011.20038 og tidligere versioner 
Windows og macOS
Acrobat Reader DC  Privatpersoner 2018.011.20038 og tidligere versioner 
Windows og macOS
       
Acrobat 2017 Classic 2017 2017.011.30079 og tidligere versioner Windows og macOS
Acrobat Reader 2017 Classic 2017 2017.011.30079 og tidligere versioner Windows og macOS
       
Acrobat DC  Classic 2015 2015.006.30417 og tidligere versioner
Windows og macOS
Acrobat Reader DC  Classic 2015 2015.006.30417 og tidligere versioner
Windows og macOS

Vedrørende yderligere oplysninger om Acrobat DC bedes du besøge Acrobat DC FAQ-siden.

Vedrørende yderligere oplysninger om Acrobat Reader DC bedes du besøge Acrobat Reader DC FAQ-siden.

Løsning

Adobe anbefaler brugerne at opdatere deres softwareinstallationer til de nyeste versioner ved at følge vejledningen nedenfor.
De nyeste produktversioner er tilgængelige for slutbrugerne via en af følgende metoder:

  • Brugere kan opdatere deres produktinstallationer manuelt ved at vælge Hjælp > Kontroller for opdateringer.
  • Produkterne opdateres automatisk, når der registreres
    opdateringer, uden at det kræver brugerens opmærksomhed.
  • Installationsprogrammet til den komplette Acrobat Reader kan hentes fra Acrobat Reader Download Center.

For IT-administratorer (administrerede miljøer):

  • Download enterprise-installationsprogrammer fra ftp://ftp.adobe.com/pub/adobe/, eller se de specifikke udgivelsesnoter for links til installationsprogrammerne.
  • Installer opdateringer via din foretrukne metode, for eksempel AIP-GPO, bootstrapper, SCUP/SCCM
    (Windows) eller på Macintosh, Apple Remote Desktop og SSH.

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt Opdaterede versioner Platform Vurdering af prioritet Tilgængelighed
Acrobat DC 2018.011.20040
Windows og macOS 1 Windows
macOS
Acrobat Reader DC 2018.011.20040
Windows og macOS 1 Windows
macOS
         
Acrobat 2017 2017.011.30080 Windows og macOS 1 Windows
macOS
Acrobat Reader DC 2017 2017.011.30080 Windows og macOS 1 Windows
macOS
         
Acrobat Reader DC (Classic 2015) 2015.006.30418
Windows og macOS
1 Windows
macOS
Acrobat DC (Classic 2015) 2015.006.30418 Windows og macOS 1 Windows
macOS

Bemærk:

Som nævnt i denne tidligere meddelelse ophørte supporten til Adobe Acrobat 11.x og Adobe Reader 11.x den 15. oktober 2017.  Version 11.0.23 er den sidste frigivelse af Adobe Acrobat 11.x og Adobe Reader 11.x.  Adobe anbefaler kraftigt, at du opdaterer til de nyeste versioner af Adobe Acrobat DC og Adobe Acrobat Reader DC. Ved at opdatere installationer til de nyeste versioner får du gavn af de seneste forbedringer af funktioner og sikkerhedsforanstaltninger.

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-nummer
Double Free
Vilkårlig kodekørsel Kritisk CVE-2018-4990
Heap-overflow
Vilkårlig kodekørsel
Kritisk

CVE-2018-4947, CVE-2018-4948, CVE-2018-4966, CVE-2018-4968, CVE-2018-4978, CVE-2018-4982, CVE-2018-4984

Use-after-free 
Vilkårlig kodekørsel
Kritisk CVE-2018-4996, CVE-2018-4952, CVE-2018-4954, CVE-2018-4958, CVE-2018-4959, CVE-2018-4961, CVE-2018-4971, CVE-2018-4974, CVE-2018-4977, CVE-2018-4980, CVE-2018-4983, CVE-2018-4988, CVE-2018-4989 
Out-of-bounds-skrivning 
Vilkårlig kodekørsel
Kritisk CVE-2018-4950 
Sikkerhedsomgåelse Afsløring af oplysninger Vigtig CVE-2018-4979
Out-of-bounds-læsning Afsløring af oplysninger Vigtig CVE-2018-4949, CVE-2018-4951, CVE-2018-4955, CVE-2018-4956, CVE-2018-4957, CVE-2018-4960, CVE-2018-4962, CVE-2018-4963, CVE-2018-4964, CVE-2018-4967, CVE-2018-4969, CVE-2018-4970, CVE-2018-4972, CVE-2018-4973, CVE-2018-4975, CVE-2018-4976, CVE-2018-4981, CVE-2018-4986, CVE-2018-4985
Forveksling af typer Vilkårlig kodekørsel Kritisk CVE-2018-4953
Upålidelig pointer-dereference  Vilkårlig kodekørsel Kritisk CVE-2018-4987
Ødelæggelse af hukommelsen Afsløring af oplysninger Vigtig CVE-2018-4965
NTLM SSO hash-tyveri Afsløring af oplysninger Vigtig CVE-2018-4993
HTTP POST ny linje-injektion via XFA-afsendelse Sikkerhedsomgåelse Vigtig CVE-2018-4995

Bemærk:

Se denne KB-artikel for at få yderligere oplysninger om afhjælpning af CVE-2018-4993.  En supplerende løsning er tilgængelig for administratorer vedrørende CVE-2018-4993, der resulterer i blokering af PDF-handlinger, som åbner links, inkl. GoToE, GoToR, Launch, Thread, Import Data, Export Form Data, Submit Form og Reset Form. Se følgende dokumentation for at få yderligere oplysninger.

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de
relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • Aleksandar Nikolic fra Cisco Talos (CVE-2018-4996, CVE-2018-4947)
  • Anton Cherepanov, ESET og Matt Oh, Microsoft (CVE-2018-4990)
  • Vladislav Stolyarov fra Kaspersky Lab (CVE-2018-4988, CVE-2018-4987)
  • Yoav Alon og Netanel Ben-Simon fra Check Point Software Technologies (CVE-2018-4985)
  • Gal De Leon fra Palo Alto Networks (CVE-2018-4959, CVE-2018-4961)
  • Ke Liu fra Tencent's Xuanwu Lab (CVE-2018-4960, CVE-2018-4986)
  • Rapporteret anomymt via Trend Micro's Zero Day Initiative (CVE-2018-4950, CVE-2018-4951, CVE-2018-4952, CVE-2018-4953, CVE-2018-4954, CVE-2018-4962, CVE-2018-4974)
  • WillJ fra Tencent PC Manager via Trend Micro's Zero Day Initiative (CVE-2018-4948, CVE-2018-4949, CVE-2018-4955, CVE-2018-4971, CVE-2018-4973)
  • Riusksk fra Tencent Security Platform Department via Trend Micro's Zero Day Initiative (CVE-2018-4956, CVE-2018-4957)
  • Steven Seeley via Trend Micro's Zero Day Initiative (CVE-2018-4963, CVE-2018-4964, CVE-2018-4965, CVE-2018-4966, CVE-2018-4968, CVE-2018-4969)
  • Ke Liu fra Tencent's Xuanwu LAB i samarbejde med Trend Micro's Zero Day Initiative (CVE-2018-4967, CVE-2018-4970, CVE-2018-4972, CVE-2018-4975, CVE-2018-4976, CVE-2018-4978, CVE-2018-4981, CVE-2018-4982)
  • Sebastian Apelt Siberas via Trend Micro's Zero Day Initiative (CVE-2018-4977)
  • AbdulAziz Hariri via Trend Micro's Zero Day Initiative (CVE-2018-4979, CVE-2018-4980, CVE-2018-4984)
  • Hui Gao fra Palo Alto Networks og Heige (a.k.a. SuperHei) fra Knownsec 404 Security Team (CVE-2018-4958, CVE-2018-4983)
  • Cybellum Technologies LTD (CVE-2018-4989)
  • Alex fra Cure53 (CVE-2018-4995)
  • Assaf Baharav, Yaron Fruchtmann and Ido Solomon fra Check Point Software Technologies (CVE-2018-4993)

Revisioner

15. maj 2018: Der er tilføjet sprog med henblik på at gøre brugerne opmærksom på, at et sikkerhedsproblem i forbindelse med CVE-2018-4990 udnyttes frit på nettet, og at proof-of-concept-kode vedrørende CVE-2018-4985 er blevet publiceret og gjort offentlig tilgængelig. Desuden er CVE-2018-4995 blevet tilføjet som erstatning for CVE-2018-4994, der tidligere var blevet udsendt vedrørende et andet sikkerhedsproblem i Adobe Connect. Endelig er CVE-2018-4996 blevet tilføjet som erstatning for CVE-2018-4946, der tidligere var blevet udsendt vedrørende et andet sikkerhedsproblem i Adobe Photoshop.

16. maj 2018: Resumé-afsnittet er blevet rettet ved, at CVE-2018-4985 er blevet erstattet med CVE-2018-4993.  Proof-of-concept-kode er blevet gjort offentlig tilgængelig vedrørende CVE-2018-4993, og ikke vedrørende CVE-2018-4985. 

17. maj 2018: Der er føjet et link til dokumentationen, som beskriver en supplerende løsning vedrørende CVE-2018-4993, som vil blokere brugere fra at følge links i PDF-dokumenter.