Adoben tietoturvatiedote

Adobe Acrobatin ja Readerin tietoturvapäivitykset

Julkaisupäivä: 5. tammikuuta 2017

Päivitetty viimeksi: 30. maaliskuuta 2017

Haavoittuvuuden tunniste: APSB17-01

Prioriteetti: 2

CVE-numerot: CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2946, CVE-2017-2947, CVE-2017-2948, CVE-2017-2949, CVE-2017-2950, CVE-2017-2951, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2959, CVE-2017-2960, CVE-2017-2961, CVE-2017-2962, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966 ja CVE-2017-2967, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972, CVE-2017-3009, CVE-2017-3010

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC Jatkuva 15.020.20042 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Jatkuva 15.020.20042 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat DC Perinteinen 15.006.30244 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Perinteinen 15.006.30244 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat XI Työpöytä 11.0.18 ja aiemmat versiot Windows ja Macintosh
Reader XI Työpöytä 11.0.18 ja aiemmat versiot Windows ja Macintosh

Vastauksia Acrobat DC -versioon liittyviin kysymyksiin on Acrobat DC:n usein kysyttyjen kysymysten sivulla. Vastauksia Acrobat Reader DC:hen liittyviin kysymyksiin on Acrobat Reader DC:n usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita noudattaen.

Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus. 
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on havaittu. 
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 15.023.20053
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC Jatkuva 15.023.20053
Windows ja Macintosh 2 Latauskeskus
           
Acrobat DC Perinteinen 15.006.30279
Windows ja Macintosh
2 Windows
Macintosh
Acrobat Reader DC Perinteinen 15.006.30279
Windows ja Macintosh 2 Windows
Macintosh
           
Acrobat XI Työpöytä 11.0.19 Windows ja Macintosh 2 Windows
Macintosh
Reader XI Työpöytä 11.0.19 Windows ja Macintosh 2 Windows
Macintosh

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset ratkaisevat tyyppiepäselvyyshaavoittuvuuden, joka voi johtaa koodin suoritukseen (CVE-2017-2962).
  • Nämä päivitykset ratkaiset vapautuksen jälkeisen käytön haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2017-2950, CVE-2017-2951, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958 ja CVE-2017-2961).
  • Nämä päivitykset ratkaisevat puskurin ylivuoto-ongelmia, jotka voivat johtaa koodin suoritukseen (CVE-2017-2942, CVE-2017-2945, CVE-2017-2946, CVE-2017-2949, CVE-2017-2959, CVE-2017-2966, CVE-2017-2970, CVE-2017-2971, CVE-2017-2972).
  • Nämä päivitykset ratkaisevat puskurin ylivuodon haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2017-2948, CVE-2017-2952)
  • Nämä päivitykset ratkaisevat muistin vioittumisen haavoittuvuuksia, jotka voivat johtaa koodin suoritukseen (CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2943, CVE-2017-2944, CVE-2017-2953, CVE-2017-2954, CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2967, CVE-2017-3010).
  • Nämä päivitykset ratkaisevat tietoturvan ohituksen haavoittuvuuden (CVE-2017-2947).
  • Nämä päivitykset ratkaisevat puskurin ylivuotohaavoittuvuuden, joka voi johtaa tietovuotoon (CVE-2017-3009).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Jaanus Kääp Clarified Securitystä ja anonyymi yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-2939)
  • kelvinwang Tencent PC Managerista (CVE-2017-2955, CVE-2017-2956, CVE-2017-2957 ja CVE-2017-2958)
  • Steven Seeley Source Incitesta yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa ja Kushal Arvind Shah Fortinetin FortiGuard Labsista (CVE-2017-2946)
  • Sebastian Apelt (siberas) yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-2961 ja CVE-2017-2967)
  • Ke Liu Tencentin Xuanwu LABistä (CVE-2017-2940, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2972)
  • kdot yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-2941 ja CVE-2017-3009)
  • Nicolas Grgoire (Agarri) yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-2962)
  • Nicolas Grégoire - Agarri yhdessä iDefense Vulnerability Contributor Program -ohjelman kanssa (CVE-2017-2948)
  • Nimetön yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-2951, CVE-2017-2970)
  • Anonyymi yhdessä Trend Micron Zero Day -ohjelman kanssa ja anonyymi yhdessä iDefensen kanssa (CVE-2017-2950)
  • Ke Liu Tencentin Xuanwu LABista yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa ja riusksk (泉哥) Tencentin tietoturvajärjestelmäosastolta (CVE-2017-2959)
  • Ke Liu Tencentin Xuanwu LABista yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-2960, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966)
  • Wei Lei ja Liu Yang of Nanyang Technological Universitystä, anonyymi yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa ja Nicolas Grégoire - Agarri yhdessä iDefensen Vulnerability Contributor Program -ohjelman kanssa (CVE-2017-2949)
  • Alex Inführ Cure53.destä (CVE-2017-2947)
  • Aleksandar Nikolic, Cisco Talos (CVE-2017-2971)
  • Kushal Arvind Shah ja Peixue Li Fortinetin FortiGuard Labsista (CVE-2017-3010)

Versiot

20. tammikuuta 2017: lisätty viittaukset haavoittuvuuksiin CVE-2017-2970, CVE-2017-2971 ja CVE-2017-2972, jotka jätettiin vahingossa pois tiedotteesta.

16. helmikuuta 2017: päivitetty kiitokset haavoittuvuuksista CVE-2017-2939, CVE-2017-2946, CVE-2017-2949, CVE-2017-2950 ja CVE-2017-2959, jotka jätettiin vahingossa pois tiedotteesta.

30. maaliskuuta 2017: päivitetty kiitokset haavoittuvuuksista CVE-2017-3009 ja CVE-2017-3010, jotka jätettiin vahingossa pois tiedotteesta.