Adobe Acrobatin ja Readerin tietoturvapäivitykset

Julkaisupäivä: 6. huhtikuuta 2017

Viimeksi päivitetty: 11. toukokuuta 2017

Haavoittuvuuden tunniste: APSB17-11

Prioriteetti: 2

CVE-numerot: CVE-2017-3011, CVE-2017-3012, CVE-2017-3013, CVE-2017-3014, CVE-2017-3015, CVE-
2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-
2017-3023, CVE-2017-3024, CVE-2017-3025, CVE-2017-3026, CVE-2017-3027, CVE-2017-3028, CVE-
2017-3029, CVE-2017-3030, CVE-2017-3031, CVE-2017-3032, CVE-2017-3033, CVE-2017-3034, CVE-
2017-3035, CVE-2017-3036, CVE-2017-3037, CVE-2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-
2017-3041, CVE-2017-3042, CVE-2017-3043, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046, CVE-
2017-3047, CVE-2017-3048, CVE-2017-3049, CVE-2017-3050, CVE-2017-3051, CVE-2017-3052, CVE-
2017-3053, CVE-2017-3054, CVE-2017-3055, CVE-2017-3056, CVE-2017-3057, CVE-2017-3065

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut tietoturvapäivitykset Adobe Acrobat- ja Reader-ohjelmistojen Windows- ja Macintosh-versioille. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, joita hyödyntämällä hyökkääjä voi saada altistuneen järjestelmän hallintaansa.

Versiot

Tuote seurataan Versiot Ympäristö
Acrobat DC Jatkuva 15.023.20070 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Jatkuva 15.023.20070 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat DC Perinteinen 15.006.30280 ja aiemmat versiot
Windows ja Macintosh
Acrobat Reader DC Perinteinen 15.006.30280 ja aiemmat versiot
Windows ja Macintosh
       
Acrobat XI Työpöytä 11.0.19 ja aiemmat versiot Windows ja Macintosh
Reader XI Työpöytä 11.0.19 ja aiemmat versiot Windows ja Macintosh

Tarkempia tietoja Acrobat DC:stä on Acrobat DC:n usein kysyttyjen kysymysten sivulla.

Tarkempia tietoja Acrobat Reader DC:stä on Acrobat Readerin usein kysyttyjen kysymysten sivulla.

Ratkaisu

Adobe suosittelee käyttäjiä päivittämään ohjelmistonsa viimeisimpiin versioihin alla olevia ohjeita
noudattaen.
Loppukäyttäjät voivat hankkia uusimmat tuoteversiot seuraavilla tavoilla:

  • Käyttäjät voivat päivittää tuoteasennuksensa manuaalisesti valitsemalla Ohje > Tarkista päivitysten saatavuus.
  • Tuotteet päivittyvät automaattisesti ilman käyttäjän toimia, kun päivityksiä on
    havaittu.
  • Acrobat Readerin täyden asennusohjelman voi ladata Acrobat Readerin latauskeskuksesta.

IT-päälliköt (hallinnoidut ympäristöt):

  • Lataa yritysten asennusohjelmat FTP-palvelimelta ftp://ftp.adobe.com/pub/adobe/ tai etsi asennusohjelmien linkit käyttämäsi version julkaisutiedoista.
  • Asenna päivitykset haluamallasi tavalla, kuten AIP-GPO:n, esilatausohjelman, SCUP/SCCM:n
    (Windows-käyttöjärjestelmässä) tai Macintosh-ympäristössä Apple Remote Desktopin ja SSH:n kautta.

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote seurataan Päivitetyt versiot Ympäristö Prioriteettiluokitus Saatavuus
Acrobat DC Jatkuva 2017.009.20044
Windows ja Macintosh 2 Windows
Macintosh
Acrobat Reader DC Jatkuva 2017.009.20044
Windows ja Macintosh 2 Latauskeskus
           
Acrobat DC Perinteinen 2015.006.30306
Windows ja Macintosh
2 Windows
Macintosh
Acrobat Reader DC Perinteinen 2015.006.30306 
Windows ja Macintosh 2 Windows
Macintosh
           
Acrobat XI Työpöytä 11.0.20 Windows ja Macintosh 2 Windows
Macintosh
Reader XI Työpöytä 11.0.20 Windows ja Macintosh 2 Windows
Macintosh

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset korjaavat vapautuksen jälkeisen käytön haavoittuvuudet, jotka voivat johtaa koodin suorittamiseen (CVE-
    2017-3014, CVE-2017-3026, CVE-2017-3027, CVE-2017-3035, CVE-2017-3047, CVE-2017-3057).
  • Nämä päivitykset korjaavat muistin vioittumisen haavoittuvuudet, jotka voivat johtaa koodin suoritukseen
    (CVE-2017-3042, CVE-2017-3048, CVE-2017-3049, CVE-2017-3055).
  • Nämä päivitykset korjaavat kekopuskurin ylivuodon haavoittuvuudet, jotka voivat johtaa koodin suoritukseen
    (CVE-2017-3015, CVE-2017-3017, CVE-2017-3018, CVE-2017-3019, CVE-2017-3023, CVE-2017-
    3024, CVE-2017-3025, CVE-2017-3028, CVE-2017-3030, CVE-2017-3036, CVE-2017-3037, CVE-
    2017-3038, CVE-2017-3039, CVE-2017-3040, CVE-2017-3041, CVE-2017-3044, CVE-2017-3050,
    CVE-2017-3051, CVE-2017-3054, CVE-2017-3056, CVE-2017-3065).
  • Nämä päivitykset korjaavat kokonaisluvun ylivuoto-ongelmat, jotka voivat johtaa koodin suoritukseen (CVE-
    2017-3011, CVE-2017-3034).
  • Nämä päivitykset korjaavat muistin vioittumisen haavoittuvuudet, jotka voivat johtaa koodin
    suoritukseen (CVE-2017-3020, CVE-2017-3021, CVE-2017-3022, CVE-2017-3029, CVE-2017-3031, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3043, CVE-2017-3045, CVE-2017-3046, CVE-2017-3052,
    CVE-2017-3053).
  • Nämä päivitykset korjaavat resurssien hakemiseen käytetyn hakemiston hakupolkuun liittyvät haavoittuvuudet, jotka
    voivat johtaa koodin suoritukseen (CVE-2017-3012, CVE-2017-3013).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta
ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Nicolas Grgoire-Agarri yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-3031)
  • ART&UESTC-yhtiön Neklab-projektissa työskentelevät Weizhong Qian, Fuhao Li ja Huinian Yang (CVE-2017-3037)
  • Anonyymit ilmoitukset iDefense Vulnerability Contributor Program (VCP) -ohjelman kautta (CVE-2017-3014,
    CVE-2017-3027)
  • riusksk (CVE-2017-3039)
  • riusksk yhdessä Trend Micron Zero Day Initiative -ohjelman kanssa (CVE-2017-3040)
  • LiuBenjin Qihoo360 CodeSafe Team -yrityksestä yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-
    3055)
  • Nikolas Sotiriu (CVE-2017-3013)
  • Keen Team yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-3056, CVE-2017-3057)
  • Toan Pham Van ( @__suto ) (CVE-2017-3041)
  • AbdulAziz Hariri Trend Micron Zero Day -ohjelmasta ja Steven Seeley (mr_me) Offensive
    Security -yhtiöstä yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-3042)
  • AbdulAziz Hariri Trend Micron Zero Day Initiative -ohjelmasta (-2017-, CVE-3043)
  • Ashfaq Ansari – Srishti-projekti iDefense Vulnerability Contributor Program (VCP) -ohjelman kautta (CVE-2017-
    3038)
  • Steven Seeley (mr_me) Offensive Security -yhtiöstä (CVE-2017-3026, CVE-2017-3054)
  • kimyok Tencentin tietoturvaympäristöosastolta (CVE-2017-3017, CVE-2017-3018, CVE-2017-3024, CVE-2017-3025, CVE-2017-3065)
  • kdot yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-3019)
  • GRIMM (CVE-2017-3030)
  • Steven Seeley (mr_me) Offensive Security -yhtiöstä yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa
    (CVE-2017-3047, CVE-2017-3049)
  • Steven Seeley (mr_me) Offensive Security -yhtiöstä yhteistyössä Trend Micron Zero Day Initiative -ohjelman kanssa ja Ke Liu Tencentin Xuanwu LABista (CVE-2017-3050)
  • Ke Liu Tencentin Xuanwu LABista (CVE-2017-3012, CVE-2017-3015)
  • soiax yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-3022)
  • Sebastian Apelt (Siberas) yhdessä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-3034, CVE-
    2017-3035)
  • Ke Liu Tencentin Xuanwu LABista yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-3020,
    CVE-2017-3021, CVE-2017-3023, CVE-2017-3028, CVE-2017-3036, CVE-2017-3048, CVE-2017-
    3051, CVE-2017-3052, CVE-2017-3053)
  • Jun Mao, Tencentin PC-päällikkö, GeekPwn:n kautta (CVE-2017-3011)
  • Giwan Go STEALIEN-yhtiöstä yhteistyössä Trend Micron Zero Day -ohjelman kanssa (CVE-2017-3029, CVE-
    2017-3032, CVE-2017-3033, CVE-2017-3044, CVE-2017-3045, CVE-2017-3046)

Versiot

27. huhtikuuta 2017: lisätty haavoittuvuutta CVE-2017-3050 koskevat kiitokset, jotka jäivät vahingossa pois tiedotteesta.

11. toukokuuta 2017: lisätty haavoittuvuutta CVE-2017-3040 koskevat kiitokset, jotka jäivät vahingossa pois tiedotteesta.